awd的批量脚本 pwn_记一次AWD反杀之旅

最新推荐文章于 2024-06-25 21:32:43 发布
最新推荐文章于 2024-06-25 21:32:43 发布
阅读量1.1k 收藏 1
点赞数
文章标签: awd的批量脚本 pwn
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39611340/article/details/111745990
版权
背景星盟团队的内部awd训练,邀请我们团队参加,然后想着也没什么事情就报名了。为什么说叫反杀之旅?因为最开始的时候由于技术师傅的手误,前两轮设置后台check扣分的时候多按了一个0,导致一次check扣了我们1000分。。。本来每个队初始分数是1000,结果我们一下变成了0,成了倒数第一。不过经过团队的紧张的补救以及多年的手速,在多扣了几百分的情况下最后追赶到了正数第二名的位置。觉得还挺有意思,所...
摘要由CSDN通过智能技术生成

背景

星盟团队的内部awd训练,邀请我们团队参加,然后想着也没什么事情就报名了。

为什么说叫反杀之旅?

因为最开始的时候由于技术师傅的手误,前两轮设置后台check扣分的时候多按了一个0,导致一次check扣了我们1000分。。。

本来每个队初始分数是1000,结果我们一下变成了0,成了倒数第一。

不过经过团队的紧张的补救以及多年的手速,在多扣了几百分的情况下最后追赶到了正数第二名的位置。

觉得还挺有意思,所以今天写篇博客来记录下过程。

比赛规则

比赛时间

八月十四日(今晚)晚六点四十到十点四十

比赛规则

(队长比赛前五分钟找我私聊拿各自的登陆密码并尽快修改)

1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接;

2.每台docker主机上运行一个web服务或者其他的服务,需要选手保证其可用性,并尝试审计代码,攻击其他队伍;

3.选手可以通过使用漏洞获取其他队伍的服务器的权限,读取他人服务器上的flag并提交到平台上。

每次成功攻击可获得5分,被攻击者扣除5分;有效攻击五分钟一轮;

4.选手需要保证己方服务的可用性,每次服务不可用,扣除100分;服务检测五分钟一轮;

5.不允许使用任何形式的DOS攻击

因为是awd一般是线下赛,线上的awd确实还是第一次搞。

最开始的时候以为是在他搭建的内网里,还要端口转发到本地才能打,感觉麻烦很多。

后来才发现不是,就是一个外网主机开了很多docker,不同docker在不同的端口,打的时候IP都不用换,直接找端口就可以了。

看了下界面还是挺炫酷的哈哈哈

冷静分析

拿到ssh后先登上去,改密码,保存源码,D盾扫一扫

虽然我经常发帖子过D盾,但是D盾确实很厉害啊哈哈哈,在比赛中还是非常有用的

老套路,被留了各种后门。

因为本来预定的环境有问题,启用了备用线路,所以只有一个web一个pwn,那就慢慢看吧。

第一个后门 任意命令执行

文件名 api.inc.php

很多文件都包含有这个文件

最低0.47元/天 解锁文章
weixin_39611340
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
awd比赛用到的脚本.zip
08-24
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。 全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。
awd批量脚本 pwn_北极星杯AWD-Writeup
weixin_39966909的博客
12-20 818
前言祝祖国70周年生日快乐,也祝星盟一周年生日快乐.感谢各位师傅在国庆假期抽出时间参加这次比赛,也感谢负责组织比赛的师傅忙前忙后.我是M09ic,负责本次北极星杯AWD的赛后分享.靠着抱大腿以及足够的运气,很荣幸获得了第二名.感谢小远师傅,sayhi师傅,以及Alkaid师傅大哥大嫂国庆好!!!先贴上web题目源码:因为是先上的waf再做的备份,所以看到waf相关的东西师傅们可以无视...web1...
CISCN华东南(AWDP)PWN题全WP
最新发布
qq_41683953的博客
06-25 1082
CISCN华东南(AWDP)PWN题全WP
Linux Polkit权限提升漏洞复现(CVE-2021-4034)
weixin_45945976的博客
01-26 7532
Linux Polkit权限提升漏洞 CVE-2021-4034 漏洞描述 Qualys 研究团队在 polkit 的 pkexec 中发现了一个内存损坏漏洞,该 SUID 根程序默认安装在每个主要的 Linux 发行版上。这个易于利用的漏洞允许任何非特权用户通过在其默认配置中利用此漏洞来获得易受攻击主机上的完全 root 权限。 漏洞影响 Polkit > 2009 漏洞复现 from ctypes import * from ctypes.util import find_library impo
AWD:赛前准备工作以及深度脚本讲解
热门推荐
薯片薯条的博客
11-10 1万+
有幸被邀请代表学校去参加线下攻防,也就是俗称的AWD比赛。 当然,在这一方面我也只能算是小白,所以希望各位大佬在看完我写的博客以后能指正一些错误。 一.比赛介绍 AWD赛制是按照分组来进行比赛的。每组3-4人,经过不同的分工,从而实现对服务器的维护以及对其他人的服务器进行攻击。 每个服务器都会有一个提前放好的有漏洞的网站,需要进行代码审计,然后修补漏洞。 举个例子,某些参数一可以参杂系统的cmd命令上来,如果执行成功,就会获取你服务器上某个文件夹下的flag.txt的内容,一旦获取成功,就代表被攻破。 .
awd pwn——LIEF学习
CoLin的pwn小屋
04-04 2059
python LIEF库学习
awd中实用的脚本
as you know, nlp is fantasitc!
09-07 1017
【代码】在awd中实用的脚本
AWD攻防中读取flag的批量脚本
09-05
AWD攻防中读取flag的批量脚本,可能需要自行修改下
AWD批量拿分python脚本
05-12
根据网上版本修改的,现场更好更改参数的版本,减少AWD比赛时的代码修改量,原始版本是网上公有版本,个人觉得哪个版需要改的参数太多浪费了很多比赛时间,可以提前根据自己shell名称改好速度会更快
PwnWAF:用于AWDpwn日志工具
05-16
用于AWDpwn日志工具 描述 使用traceGen.py生成elf文件。 elf_name:我们要录哪个elf文件 log_path:日志文件 计算机:此精灵的平台,(仅支持x86 / x86_64) 注意:elf_name和log_path必须是绝对路径 用法: ...
AWD脚本收集.rar
10-21
awd必备脚本awd框架 流量监控waf 批量提交 批量获取 批量改密码 文件监控
AWD自动提交flag脚本
05-14
AWD自动提交flag脚本】是用于网络安全竞赛(如Capture The Flag,简称CTF)中的自动化工具,特别是在 Automated Web Defense(AWD)类型的比赛中。这类脚本的主要目的是提高效率,减少手动操作,使得参赛者能够...
CTF之PWN学习入门
11-02
  从基础开始,一步步教同学们从基础的栈溢出,栈溢出的原理以及在64位程序与32位程序下,如何去构造EXP,以及在有一般保护的情况下如你构造ROP链,在没有binsh与system函数的情况下如何去构造泄露如put,printf,write等函数的真实地址。然后教大家格式化字符串漏洞的利用,在开启canary下即存在栈溢出与格式化漏洞的情况下如保构造EXP来打通获取一个shell。学完课程同学们能够掌握格式化字符串漏洞与栈溢出漏洞的原理以及如何去构造EXP,掌握原理。
红蓝对抗-AWD全流程攻略07(Python脚本编写)
m0_67189356的博客
05-05 918
AWD中编写python脚本相关的基础知识
从红队视角看AWD攻击
二狗的博客
02-20 3435
使用了其中的Web1来进行演示预设后门为:http://localhost:8000/?对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
探索高效自动化:AWD_Script - 动态脚本管理工具
gitblog_00010的博客
04-01 349
探索高效自动化:AWD_Script - 动态脚本管理工具 项目地址:https://gitcode.com/i0gan/awd_script 在数字化时代的今天,自动化成为了提高效率的关键。AWD_Script 是一个强大而易用的动态脚本管理平台,旨在简化脚本编写、执行和维护的过程。本文将深入剖析该项目的核心功能、技术实现及应用场景,带你领略自动化新高度。 项目简介 AWD_Script 是一款...
AWD指南
学生
11-04 3079
经过整理,需要的一些工具和脚本AWD思路(方便到时候直接复制粘贴,提高效率)
AWD竞赛全流程解析
m0_74131821的博客
05-20 3199
AWD是一个非常有意思的模式
awd怎么运行python
11-06
在运行Python脚本时,我们可以使用AWD(也称为Auto Web Discovery)来轻松地启动和管理Python的Web应用程序。 首先,确保已经安装了Python解释器。在命令行窗口中,可以输入"python --version"来检查Python版本。如果未安装Python,则需要先下载并安装。 接下来,我们需要安装AWD库。可以使用pip命令来安装。在命令行窗口中输入"pip install awd",等待安装完成。 安装完成后,可以通过在命令行窗口中输入"awd init"来初始化AWD。这将在当前目录下创建一个awd.ini文件,其中包含必要的配置信息。 然后,可以创建一个Python脚本,用以编写我们的Web应用程序。例如,可以使用Flask框架来创建一个简单的Web应用程序。在脚本中,我们需要导入Flask库,并定义一个应用对象。可以指定路由和处理函数来处理不同的URL请求。 完成脚本编写后,可以使用"awd run"命令来运行我们的Web应用程序。这将自动启动一个本地服务器,并将Web应用程序绑定到指定的主机和端口上。 在浏览器中输入指定的主机和端口,就可以访问我们的Web应用程序了。例如,如果我们将应用绑定到localhost和5000端口上,可以在浏览器中输入"http://localhost:5000"来访问。 同时,AWD还提供了其他功能,例如自动重新加载和处理静态文件等。这些功能可以在awd.ini文件中进行配置。 总的来说,AWD可以帮助我们更方便地运行和管理Python的Web应用程序,使得开发过程更加高效和便捷。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值