[AWD靶场搭建]

最新推荐文章于 2024-04-26 14:49:48 发布
最新推荐文章于 2024-04-26 14:49:48 发布
阅读量1.3k 收藏 8
点赞数
分类专栏: CTF 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61839115/article/details/131965174
版权

文章目录

[AWD靶场搭建]

前言

觉得好玩搭建了一下AWD靶场,使用了vidar-team编写的 Cardinal

AWD平台搭建

这里我是在kali搭建的,所以我下载了这个压缩包:

image-20230727160859993

拖进虚拟机中,然后使用如下命令解压

tar -zxvf Cardinal_v0.7.3_linux_amd64.tar.gz

增加Cardinal文件的执行权限:

chmod +x Cardinal

然后我们在mysql数据库中新建一个Cardinal数据库:

image-20230727161213883

运行:Cardinal

./Cardinal

然后填写相关信息即可:

image-20230727161342665

接着我们访问ip的19999端口管理页面:http://ip:19999/manager,输入刚刚设置的账号密码即可

在队伍管理添加队伍:

image-20230727161635027

我们添加了两个队伍:

team1		suMQMq4DNwa5l4EZ
team2 		ifjXbn1XR4MFCWre

image-20230727161734915

添加题目,设置自动更新flag

image-20230727161832052

选手登录:http://192.168.56.128:19999/

image-20230727162009791

靶机搭建

我们使用github上的靶机进行靶机搭建:https://github.com/glzjin/20190511_awd_docker

image-20230727162100818

下载并解压到目录,并且使用mv重命名为:web1_1

修改其中docker-compose.yml 文件内容:

version: "3"
services:
      b4:
        build: ./b4
        ports:
            - "8801:80"
            - "2201:22"
        restart:
                always

这里我们启动第四个题目,http80映射到8801端口,ssh22映射到2201端口

使用docker命令启动:

docker-compose up -d --build

image-20230727162451323

查看容器是否搭建:

docker images
docker ps

image-20230727162619602

我们可以看到web1_1_b4容器已经搭建了

image-20230727162851500

修改一下docker容器ssh 的root用户密码,使用如下命令:

 docker exec -it 容器id passwd

image-20230727163342279

我们已经创建好了这个题目一个用户的靶机,接下来我们可以使用cp命令,将靶机目录复制一份,然后以同样的步骤创建容器,同样更改ssh的root用户密码(注意改一下端口号)

Cadinal添加靶机

image-20230727163621325

测试一下ssh连接是否成功:

image-20230727163745212

在配置管理中改一下比赛名称和flag格式:

image-20230727164128466

生成flag

image-20230727163838863

更新flag

image-20230727163857251

生成了flag后,我们使用管理员身份登录进容器,查看一下flag是否成功生成:

 docker exec -it 容器id /bin/bash

image-20230727164240016

发现没有问题,这样就搭建成功了

连接Asteroid大屏

  • 文档:https://cardinal.ink/asteroid/

  • 下载地址:https://github.com/wuhan005/Asteroid/releases

我们在win上搭建:

image-20230727165237590

更改这个文件:./Asteroid_Data/StreamingAssets/asteroid.ini

image-20230727165306996

[connect]
url = ws://192.168.56.128:19999/api/asteroid
image_url = http://192.168.56.128:19999/api/uploads

[scene]
size = 10
radius = 20
speed = 2

运行即可:

image-20230727165346331

如图:

image-20230727165407726

默认ssh账号密码

image-20230727165502013

SSH 默认用户名:glzjin 密码:123456

参考

https://blog.csdn.net/qq_53365842/article/details/123789157

https://cloud.tencent.com/developer/article/1744139

Leekos
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AWDDocker:标准化AWD靶场Docker
05-12
AWDDocker 标准化AWD靶场Docker 来源
CTF AWD靶场搭建和第一题题解
weixin_46578840的博客
11-17 4932
首先安装docker环境 添加GPG密钥并添加更新源 curl -fsSL https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/gpg | sudo apt-key add - echo 'deb https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/debian/ buster stable' | sudo tee /etc/apt/sources.list.d/docker.list
红蓝对抗-AWD全流程攻略01(起手准备工作)
最新发布
m0_67189356的博客
04-26 1117
AWDP对抗比赛攻略:防御阶段、混战阶段所涉及到的各类知识点。
AWD靶机实战第一天:读php源码找漏洞
2203_75839317的博客
04-09 716
首先是一个条件语句,判断输入的c参数的值是否是只由字母数字和下划线组成,或者,如果根目录下的/lib/文件夹下没有输入的参数与.php拼接起来的文件,满足其中一个都会退出并输出hack.如果不满足if的条件,那么else就会包含这个新的文件名,并且返回这个实例化的类。,那就是永远为假,所以说只会执行else,else里面有一个执行php代码的函数eval,所以这个函数将会执行$obj类里面的传入的方法,url上面写的是c=user&a=home。
基于AWD攻防对Web漏洞的研究
Welcome To Myon'Blog !
12-20 1400
AWD赛制是一种网络安全竞赛的赛制。AWD赛制由安全竞赛专家及行业专家凭借十多年实战经验,将真实网络安全防护设备设施加入抽象的网络环境中,模拟政府、企业、院校等单位的典型网络结构和配置,开展的一种人人对抗的竞赛方式,考验参赛者攻防兼备的能力。其主要特点为:强调实战性、实时性、对抗性,综合考量竞赛队的渗透能力和防护能力。1、威胁感知与应对:通过实施AWD(Attack and Defense)攻防对Web漏洞的研究,我们深刻了解了攻击者的思维方式和策略,这有助于提高对潜在威胁的感知和应对能力。
AWD平台搭建
qq_53365842的博客
03-28 5334
这里采用github开源的AWD平台: https://github.com/vidar-team/Cardinal 搭建平台 查看教程和官方文档 https://cloud.tencent.com/developer/article/1744139 发现需要下载Cardina版本,查看官方文档下载 https://cardinal.ink/guide/install.html#release-%E5%AE%89%E8%A3%85-%E6%8E%A8%E8%8D%90 https://github.c
p80 红蓝对抗-AWD 模式&准备&攻防&监控&批量
weixin_43263566的博客
03-14 3628
p80 红蓝对抗-AWD 模式&准备&攻防&监控&批量
AWD靶场场景复现
qq_42942226的博客
10-26 1485
awd靶场复现
AWD平台搭建(Cardinal 从零开始) 2021/11/17
热门推荐
mumuzi的博客
11-17 1万+
#Time 2021/11/17 因为之后要在校内组织AWD比赛,所以在github上找了一会,试了试最多star的,虽然说好用但是没有好康的界面,全是一堆代码感觉很枯燥,于是最终还是选择了使用Cardinal来搭建。中间有一些坑点都已解决。 Cardinal环境搭建 环境の搭建 选择debain和ubuntu应该都没问题,我选的是debain9.9 首先拿到一台新的机器,基操 sudo apt-get update sudo apt-get upgrade 其次,因为要用到docker,所以之后我们
AWD练习平台搭建 & 附虚拟机资源
monster663的博客
06-04 2952
最近需要准备线下AWD了,但是没有那么多金币每天上BugKu的PVP在线AWD对战进行练习,于是想着可以自己搭建一个团队内部使用的AWD攻防平台,浅浅的记录一下。
网络攻防比赛平台源码(AWD-platform源码).7z
06-19
一个awd攻防比赛的裁判平台。 版本:beta v2.0 开发语言:python3 + django 平台分为两个部分 裁判机 靶机 通过特定接口,来实现靶机flag与服务器的通信 搭建流程 裁判机 安装所需环境 裁判机:python3+django 全局搜索woshiguanliyuan,并修改为随机字符串,此处为管理平台地址 /untitled/urls.py path('woshiguanliyuan/',views.admin,name='admin'), path('woshiguanliyuan/table/',views.admin_table,name='admin_table'), /app/views.py if 'woshiguanliyuan' not in request.META['HTTP_REFERER']: 第31和47换为你的目录 列:("/var/www/awd_platform/app/qwe.txt","a") 修改app/management/commands/init.py,添加用户 #['用户名','用户靶机token','用户靶机token'] user=[ ['123456','FF9C92C7SDFABB71566F73422C','FF9C92C7SDFABB71566F73422C'], ['aaabbb','311F8A54SV9K6B5FF4EAB20536','311F8A54SV9K6B5FF4EAB20536'] ] 修改/app/views.py第行d89f33b18ba2a74cd38499e587cb9dcd为靶机中设置的admin_token值的md5 if('d89f33b18ba2a74cd38499e587cb9dcd'==hl.hexdigest()): 运行 python3 manage.py init python3 manage.py manage.py runserver --insecure 靶机 安装所需环境 靶机:python+requests 修改send_flag.py参数,并将其放入靶机,设权限700。 靶机 sudo python send_flag.py。 靶机生成flag脚本,send_flag.py import requests import time import random import string import hashlib token='woshiwuxudong' # 红队 baji='311F8A54SV9K6B5FF4EAB20536' def getFlag(): #return ''.join(random.sample(string.ascii_letters + string.digits, 48)) m = hashlib.md5(''.join(random.sample(string.ascii_letters + string.digits, 48)).encode(encoding="utf-8")).hexdigest() return m while(1): f=open('/flag','w') flag=getFlag() f.write(flag) data={ 'flag':flag, 'token':token, 'baji':baji, } r=requests.post('http://127.0.0.1/caipanflag/',data=data) print(r.text) f.close() time.sleep(300) 重要须知 更新作者基础上: 1.增加flag验证一次性失效性,使得每个用户都并且仅可以提交一次flag 2.增加排名情况 3.flag改为MD5 4.增加丢失flag一轮扣100分
AWD相关知识
02-19
CTF可以通过解题模式与竞赛级别进行不同方式的分类。在解题模式方向,主要可以分为夺旗模式与攻防模式;而在竞赛级别上则根据比赛类型的不同分为:国际性CTF竞赛、国家级信息安全竞赛、企业CTF与高校CTF等等不同级别。
AWD软waf 用于防御的
09-05
AWD的PHP软waf 用于防御的,可以嵌入网站进行防御。
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
标准化AWD靶场Docker.zip
01-14
靶场搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全...
AWD靶场平台-裁判机.zip
01-14
靶场搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全...
AWD平台搭建--Cardinal
墨子辰的博客
01-28 8962
AWD搭建步骤一、前提摘要二、环境准备三、启动mysql,创建数据库四、搭建Cardinal平台五、靶机搭建六、Cardinal上部署靶机七、连接Asteroid大屏 先看一个成品炫酷图 一、前提摘要 Cardinal由Vidar-Team团队开发,接受并允许各大高校、安全团队、技术爱好者使用 Cardinal 作为比赛训练平台或举办内部训练赛。 但不允许在未经许可授权的情况下,使用 Cardinal 的代码、文档、相关软件等开展商业培训、商业比赛、产品销售等任何营利性行为。禁止恶意更换、去除 Cardi
AWD平台搭建–Cardinal
XL5L7的博客
04-19 3650
本次使用的环境 Linux kali 5.3.0-kali2-amd64 #1 SMP Debian 5.3.9-3kali1 (2019-11-20) x86_64 GNU/Linux docker docker-compose mysql #kali自带的mysql,需要自己启动 注:docker docker-compose必须要有,不然后面搭建靶机不成功。 使用的Cardina版本 https://github.com/vidar-team/Cardinal/releases 使用的靶机 http
awd怎么运行python
11-06
在运行Python脚本时,我们可以使用AWD(也称为Auto Web Discovery)来轻松地启动和管理Python的Web应用程序。 首先,确保已经安装了Python解释器。在命令行窗口中,可以输入"python --version"来检查Python版本。如果未安装Python,则需要先下载并安装。 接下来,我们需要安装AWD库。可以使用pip命令来安装。在命令行窗口中输入"pip install awd",等待安装完成。 安装完成后,可以通过在命令行窗口中输入"awd init"来初始化AWD。这将在当前目录下创建一个awd.ini文件,其中包含必要的配置信息。 然后,可以创建一个Python脚本,用以编写我们的Web应用程序。例如,可以使用Flask框架来创建一个简单的Web应用程序。在脚本中,我们需要导入Flask库,并定义一个应用对象。可以指定路由和处理函数来处理不同的URL请求。 完成脚本编写后,可以使用"awd run"命令来运行我们的Web应用程序。这将自动启动一个本地服务器,并将Web应用程序绑定到指定的主机和端口上。 在浏览器中输入指定的主机和端口,就可以访问我们的Web应用程序了。例如,如果我们将应用绑定到localhost和5000端口上,可以在浏览器中输入"http://localhost:5000"来访问。 同时,AWD还提供了其他功能,例如自动重新加载和处理静态文件等。这些功能可以在awd.ini文件中进行配置。 总的来说,AWD可以帮助我们更方便地运行和管理Python的Web应用程序,使得开发过程更加高效和便捷。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值