AWD平台搭建与使用入门

最新推荐文章于 2024-06-27 13:21:53 发布
最新推荐文章于 2024-06-27 13:21:53 发布
阅读量1w 收藏 55
点赞数 9
分类专栏: 笔记 # 渗透 文章标签: 攻防 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45735611/article/details/114846071
版权

awd-platform

简单介绍

比赛规则(新):

  1. 每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接;

  2. 每台docker主机上运行一个web服务或者其他的服务,需要选手保证其可用性,并尝试审计代码,攻击其他队伍;

  3. 比赛开始后,前30分钟,选手维护各自的主机,在这个阶段,所有的攻击和服务不可用不影响分数;

  4. 选手可以通过使用漏洞获取其他队伍的服务器的权限,读取他人服务器上的flag并提交到指定的flag服务器:

    http://flag服务器IP:端口/fflag_file.php?token=队伍token&flag=获取到的flag 来获得相应的分数。

    例如:flag server地址为8.8.8.8,端口为8080,队伍token为team1,flag为40ed892b93997142e46124516d0f5ac0,则请求http://8.8.8.8:8080/fflag_file.php?token=team1&flag=40ed892b93997142e46124516d0f5ac0来获得相应分数。

    每次成功攻击可获得2分,被攻击者扣除2分;有效攻击两分钟一轮;

  5. 选手需要保证己方服务的可用性,每次服务不可用,扣除1分,服务可用,加1分;服务检测两分钟一轮;

  6. 选手可以从flag服务器上获取所有的攻击情况以及当前的分数:

    攻击情况url地址:http://flag服务器IP:端口/result.txt

    得分情况地址:http://flag服务器IP:端口/score.txt

平台搭建

因为平台已经做的比较集成化,所以安装还是很简单的。博主使用的是ubuntu安装。

  1. 首先需要下载赛题项目

    git clone https://github.com/zhl2008/awd-platform
#这一条命令可以将文件下载到当前工作目录,文件名为awd-platformgit clone https://gitee.com/jikemofan/awd-platform.git

    在这里插入图片描述

    因为项目地址是在github上面,所以对某些国内用户可能会有一些网络问题,这里博主搬运了一下,上传到csdn上面了。(点击前往

  2. 然后需要下载docker

    sudo apt install docker.io

    这里如果没有更换apt源可能会比较慢,网上搜了一个教程(点击前往),这里不做赘述。在这里插入图片描述

  3. 下载docker镜像

    sudo docker pull zhl2008/web_14.04
##下载镜像文件
sudo docker tag zhl2008/web_14.04 web_14.04
##更改镜像名称

    在这里插入图片描述
    这里可能会比较慢,换一下docker源就可以了

    vi /etc/docker/daemon.json

    在文件中输入

    {
  "registry-mirrors": ["https://registry.docker-cn.com","http://hub-mirror.c.163.com"]
}

    在这里插入图片描述

    重启服务,之后再次尝试下载

    service docker restart

    下载好之后改名
    在这里插入图片描述

启动比赛

  1. 首先是确认赛题和队伍数量
    这里的web开头的都是赛题
    在这里插入图片描述
    输入命令创建队伍

    cd ~/awd-platform
#切换到第一步下载的赛题项目文件夹下面
python batch.py web_yunnan_simple 2

    这里创建了2个队伍,赛题是web_yunnan_simple
    在这里插入图片描述

  2. 根据赛题修改check.py(awd-platform/check_server/目录下)文件,找到check类

    class check():
    def __init__(self):
        print "checking host: "+host

    def index_check(self):
        res = http('get',host,port,'/','',headers)
        if 'Home' in res:
            return True
        if debug:
            print "[fail!] index_fail"
        return False


    def test_check(self):
        res = http('get',host,port,'/about.php?file=header.php','',headers)
        if 'About' in res:
            return True
        if debug:
            print "[fail!] test_fail"
        return False


    def test_check_2(self):
        headers['Cookie'] = ''
        data = 'key=1'
        res = http('get',host,port,'/services.php',data,headers)
        if 'Services' in res:
            return True
        if debug:
            print "[fail!] test_2_fail"
        return False

  3. 修改flag刷新时间,同样是check.py文件中,默认120s,2分钟
    在这里插入图片描述

  4. 创建好队伍后就可以开始比赛了,输入命令启动比赛

    python start.py ./ 2

    在这里插入图片描述

  5. 查看创建的队伍机器

    输入命令查看创建的虚拟靶机(docker创建的是容器,大家可以理解成为是虚拟机,不做详细介绍)

    docker ps

    在这里插入图片描述
    可以看到这里多了2个名字分别为team1和team2的容器,并且观察这2行记录可以得到如下信息。

    主机端口team1靶机端口team2靶机端口
    880180(web服务端口)
    880280(web服务端口)
    220122 (ssh连接端口)
    220222 (ssh连接端口)

  6. 此时可以访问一下team1的网站
    在这里插入图片描述

  7. 运行修改过后的check.py文件
    在这里插入图片描述

得分

  1. 首先看一下当前比分,有2个地方可以看到。
    第一个,访问http://ubuntu主机IP地址:8080/score.txt
    在这里插入图片描述
    很简陋,可以去找一个好看的替换它。
    第二个,在ubuntu终端运行check.py脚本
    在这里插入图片描述

  2. 现在模拟一下team2队拿下team1的flag
    从team1的网站下手,观察了一下为网页,发现网站首页底部有一个命令注入点
    在这里插入图片描述
    3.尝试找到flag
    首先尝试ls根目录
    在这里插入图片描述

    在这里插入图片描述
    发现可以直接输出根目录信息,并且找到敏感信息flag,接下来继续在命令注入点输入cat /flag
    在这里插入图片描述
    在这里插入图片描述

成功找到一个flag。

  1. 提交fiag给自己的队伍加分。

    加分的方法是访问一个为地址并且以get的形式上交flag

    http://ubuntu主机IP地址:8080/flag_file.php?token=teamx&flag=xxxx (x为队伍号)

    上传flag,flag正确的话就会显示success(有可能会提示没有这个flag,有可能是flag刷新了,重新去获取一下flag,用新的flag提交)

    在这里插入图片描述

  2. 现在还没有过30分钟的准备阶段,所以现在的攻击是不得分的。

结束比赛
sudo python stop_clean.py

在这里插入图片描述

cc啊昂昂
关注
  • 9
    点赞
  • 55
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
AWD平台搭建
weixin_30367873的博客
08-10 5806
因为之前是被AWD比赛坑过,所以想着自己搭建一下啦。这样方便可以本校和某高校,两个学校的人进行相互交流,共同进步。 搭建前提: ubuntu16.04镜像,这个最好放到虚拟机里面进行加载。(附:Ubuntu的源可以换成阿里云的,这样的话下载速度就会比较快,这里我是给出别人的博客,我是换成阿里云的源 https://blog.csdn.net/lym152898/article/details...
AWD平台搭建及遇到的问题分析
weixin_45566993的博客
05-29 623
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 1、安装docker环境 a**、**使用的是ubuntu系统,通过sudo apt install docker.io进行docker得安装,此方式会自动启动dock
网络攻防WEB入门指南
热门推荐
qq_43678263的博客
03-31 1万+
网络攻防WEB入门指南(大佬绕路) 文章目录前言学习网络攻防该如何入门 前言 我对网络攻防的理解,分为比赛和实战两个部分,两者所学习的知识虽有共通之处,但还是有很大区别,我也在向实战的状态转换,不过二者入门所要掌握的知识差别不大。下面主要从网络攻防竞赛角度,也就是知名的CTF夺旗赛,来谈谈网络攻防知识如何入门。 学习网络攻防该如何入门 常规CTF比赛主要分为线上做题,以及线下AWD攻防(Attack With Defence),其中初赛往往为做题形式,决赛为AWD混战。做题形式又分为MISC(杂项)、
awd-platformAWD攻防平台
03-16
# AWD线下环境启动说明 by Hence Zhang @Lancet github上的项目,搬运了一下
基于Cardinal的AWD攻防平台搭建使用以及基于docker的题目环境部署
最新发布
Welcome To Myon'Blog !
06-27 1516
正常 ./ 执行我们需要一直在这个终端挂着,否则Cardinal 就会断掉,靶场页面也就无法访问。因为我们的 mysql 数据库下还没有 test 这个用户,我们需要手动创建并赋予权限 ,test 这个用户相当于是我们平台的一个后台管理账户,因此这里直接给 root 权限。这样,即使我们关闭终端,Cardinal 也会一直处于运行状态。。
AWD平台搭建失败
qq_41672971的博客
12-05 544
11111
AWD简单介绍和搭建AWD平台
kukudeshuo的博客
10-16 1万+
AWD简单介绍和搭建AWD平台 何为AWD 比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。 1、一般分配Web服务器,服务器(多数为Linux)某处存在flag(一般在根目录下) 2、可能会提供一台流量分析虚拟机,可以下载流量文件进行数据分析 3、flag在主办方的设定下每隔一定实践刷新一轮 4、各队一般都有自己的初始分数 5、flag一旦被其他队伍拿走,该队扣除一定积分 6、扣除的积分由获取flag的队伍均分 7、主办方会对每个
awd-php,awd-platform搭建
weixin_39638057的博客
03-12 745
环境准备ubuntu-18.04.1-desktop-amd64更改源、安装ssh、安装git、安装docker。下载awd-platform1git clone https://github.com/zhl2008/awd-platform.git下载镜像12docker pull zhl2008/web_14.04docker tag zhl2008/web_14.04 web_14.04创建...
【DOCKER下AWD环境搭建
weixin_42266726的博客
11-19 538
计划搭建AWD平台,团队可以有事没事练练。环境是虚拟机kali+docker+awd-platform.
AWD平台搭建及遇到的问题分析.doc
07-09
AWD平台搭建及遇到的问题分析 AWD 平台搭建是一项复杂的任务,它涉及到多个技术领域,如 Docker 环境搭建、 Git 仓库管理、 Python 脚本编写等。下面我们将详细介绍 AWD 平台搭建的过程中涉及到的知识点。 一、...
awd-platform-master.zip
09-07
这个项目主要用于搭建CTF(Capture The Flag)比赛中的AWD(Attack-Defend)训练平台。在网络安全领域,CTF是一种流行的比赛形式,参与者通过解决一系列网络安全问题来攻防对抗,提升自身的安全技能。AWD模式则是...
AWD_CTF_Platform:一个简单的AWD训练平台
05-13
CTF-AWD 训练平台 [TOC] 项目简介 一个简单的CTF-AWD平台,用于内部小型CTF对抗训练以及培训使用。 特点 docker化,简易部署 可部署在公网上,远程AWD攻防 训练环境可自定义扩展 基本使用方式 pre.py python pre.py web_chinaz 10 web_chinaz 为应用文件名称,10表示要生成的队伍数量 start.py python start.py 10 启动10个实例,以及check和flag服务。 stop_clean.py python stop_clean.py 暂停所有服务,并删除临时文件 注意,这里会删除所有现运行的容器,请谨慎使用。 pass.txt 存储队伍用户名密码,以及ssh、web端口 team01 ctf:308d66 ssh:2201 port:8801 team02 ctf:024b1d ssh:2202 po
CTF_AWD_Platform:CTF 攻防对抗平台
05-03
概述 基于Django框架开发,同时kvm虚拟化和SDN技术的使用带给了使用者强大的靶机攻防体验。开发目的即一款优秀的专用于比赛的CTF平台,它丰富的比赛内容,灵活的比赛模式以及各项人性化的功能模块满足了比赛举办者的所有要求。然而,同时并不局限于比赛的用途,使用者同样可以用来练习CTF解题和靶机攻防。 技术栈 python3.6 + Django 2.1.7 + 10.3.9-MariaDB or Mysql-8.0 + REST Framework 3.9.2 + xadmin + Celery + Vue 部署 基于ubuntu 18 LTS版本 安装mysql、redis 并在setting.py中配置连接信息 创建虚拟环境基于python3.6 安装requirements.txt中的依赖包,如果报下面的错误 OSError: mysql_config not found sudo
网络攻防比赛平台源码(AWD-platform源码).7z
06-19
一个awd攻防比赛的裁判平台。 版本:beta v2.0 开发语言:python3 + django 平台分为两个部分 裁判机 靶机 通过特定接口,来实现靶机flag与服务器的通信 搭建流程 裁判机 安装所需环境 裁判机:python3+django 全局搜索woshiguanliyuan,并修改为随机字符串,此处为管理平台地址 /untitled/urls.py path('woshiguanliyuan/',views.admin,name='admin'), path('woshiguanliyuan/table/',views.admin_table,name='admin_table'), /app/views.py if 'woshiguanliyuan' not in request.META['HTTP_REFERER']: 第31和47换为你的目录 列:("/var/www/awd_platform/app/qwe.txt","a") 修改app/management/commands/init.py,添加用户 #['用户名','用户靶机token','用户靶机token'] user=[ ['123456','FF9C92C7SDFABB71566F73422C','FF9C92C7SDFABB71566F73422C'], ['aaabbb','311F8A54SV9K6B5FF4EAB20536','311F8A54SV9K6B5FF4EAB20536'] ] 修改/app/views.py第行d89f33b18ba2a74cd38499e587cb9dcd为靶机中设置的admin_token值的md5 if('d89f33b18ba2a74cd38499e587cb9dcd'==hl.hexdigest()): 运行 python3 manage.py init python3 manage.py manage.py runserver --insecure 靶机 安装所需环境 靶机:python+requests 修改send_flag.py参数,并将其放入靶机,设权限700。 靶机 sudo python send_flag.py。 靶机生成flag脚本,send_flag.py import requests import time import random import string import hashlib token='woshiwuxudong' # 红队 baji='311F8A54SV9K6B5FF4EAB20536' def getFlag(): #return ''.join(random.sample(string.ascii_letters + string.digits, 48)) m = hashlib.md5(''.join(random.sample(string.ascii_letters + string.digits, 48)).encode(encoding="utf-8")).hexdigest() return m while(1): f=open('/flag','w') flag=getFlag() f.write(flag) data={ 'flag':flag, 'token':token, 'baji':baji, } r=requests.post('http://127.0.0.1/caipanflag/',data=data) print(r.text) f.close() time.sleep(300) 重要须知 更新作者基础上: 1.增加flag验证一次性失效性,使得每个用户都并且仅可以提交一次flag 2.增加排名情况 3.flag改为MD5 4.增加丢失flag一轮扣100分
awd网络攻防比赛平台.zip
08-24
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
AWD靶场平台-裁判机.zip
01-14
靶场的搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全...
AWD练习平台搭建 & 附虚拟机资源
monster663的博客
06-04 3487
最近需要准备线下AWD了,但是没有那么多金币每天上BugKu的PVP在线AWD对战进行练习,于是想着可以自己搭建一个团队内部使用AWD攻防平台,浅浅的记录一下。
CTF线下赛AWD攻防准备
qwzf
07-16 7231
CTF线下赛AWD攻防准备 最近发现一篇博客。感觉对CTF线下赛-AWD模式,总结比较好。于是学习了解了一下,为了方便寻找,把这篇博客复制了过来,并补充了点。。。 1、赛制流程:攻防模式(AWD)常见于线下攻防 一般比赛的具体环境会在开赛前半个小时由比赛主办方给出,前半个小时应熟悉配置环境。准备网线、网线转接口。 最好的防御就是攻击,不做好安全加固就会被吊打。 2、 赛前准备: 常用工具:(整理...
awd文件监控脚本使用
04-05
以下是一个简单的Python脚本示例,可用于监控目录中的AWD文件,并在发现新文件时发送电子邮件通知: ```python import os import time import smtplib from email.mime.text import MIMEText # 监控目录 watch_dir = '/path/to/watchdir' # 接收通知的电子邮件地址 notify_email = 'your@email.com' # SMTP服务器信息 smtp_server = 'smtp.email.com' smtp_port = 587 smtp_username = 'your@email.com' smtp_password = 'your_password' # 上次检查的文件列表 last_files = set() while True: # 获取目录中的所有AWD文件 all_files = set() for filename in os.listdir(watch_dir): if filename.endswith('.awd'): all_files.add(filename) # 检查是否有新文件 new_files = all_files - last_files if new_files: # 发送电子邮件通知 msg = MIMEText('New AWD files found: %s' % ', '.join(new_files)) msg['Subject'] = 'AWD file notification' msg['From'] = smtp_username msg['To'] = notify_email server = smtplib.SMTP(smtp_server, smtp_port) server.ehlo() server.starttls() server.login(smtp_username, smtp_password) server.sendmail(smtp_username, notify_email, msg.as_string()) server.quit() # 更新上次检查的文件列表 last_files = all_files # 等待一段时间后再继续检查 time.sleep(60) ``` 要使用此脚本,请将“watch_dir”变量设置为要监视的目录的路径,并将“notify_email”变量设置为您要接收通知的电子邮件地址。还需要将SMTP服务器信息和凭据设置为正确的值。 然后,运行脚本并让它在后台运行。每当新的AWD文件出现在监视目录中时,您将通过电子邮件收到通知。
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值