【Cardinal的AWD攻防平台搭建】

已于 2025-01-19 11:43:32 修改
阅读量762 收藏 7
点赞数 5
文章标签: 网络安全
于 2024-09-13 16:36:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42266726/article/details/142207129
版权

AWD-platform平时练习还行,但攻击页面太low了 。在网上找了找,Cardinal不错。
现记录下下载:

安装Cardinal

Releases · 05sec/Cardinal (github.com)
在这里插入图片描述
我用的kali,所以选择linux_amd64.tar.gz下载。创建Cardinal目录(良好习惯,不然解压一堆),执行:chmod +x Cardinal
然后进入Cardinal目录解压。

tar -zxvf Cardinal.tar.gz

然后./Cardinal
第一次执行会提示用中文还是英文,比赛开始的起始时间等。需要注意的是,数据库账号、密码、表名要记住。生成的配置文件在conf下的Cardinal.toml,是这个样子:
在这里插入图片描述
kali的mysql数据库默认不启动。要启动service mysql restart

然后添加账号、密码、数据库
进入数据库
mysql -u root -p
创建test用户和密码

CREATE USER 'test'@'localhost' IDENTIFIED BY 'test';
GRANT ALL PRIVILEGES ON *.* TO 'test'@'localhost' WITH GRANT OPTION;
FLUSH PRIVILEGES;

创建testdb数据库
create database testdb;
再重新启动./Cardinal
访问:htttp://ip:19999/manager
(队伍访问:htttp://ip:19999)
用test\test进入。可设置一系列的参数。

启动awd-platform

启动AWD-platform,利用里面的赛题搭建靶场。
需要注意的是,默认的CTF用户,权限不够。无法更新(写入)flag。需要就入每个虚拟机中更新root密码。
先执行 docker ps

在这里插入图片描述
可以看到三支队伍的容器id号。
使用docker stop 命令停掉flag_server和check_server。比赛用的是Cardinal的flag.

docker stop bf2f813823f1
docker stop 33004dc9321d

在这里插入图片描述
改了root的密码,但用ssh的root账号登录不了。查看系统,是sshd的配置有问题。
sudo vi /etc/ssh/sshd_config
改成这个样子
在这里插入图片描述
再重启sshd服务:/etc/init.d/ssh restart
三个队伍都改好。

显示大屏

要B格,就要上大屏。
同样下载Asterid
在这里插入图片描述
下载windows版就行。
然后修改StandaloneWindows64\Asteroid_Data\StreamingAssets 的asteroid.ini文件。修改Ip地址为cardinal的ip的地址即可。
在这里插入图片描述
双击asteroid.exe,开启美妙时刻!

在这里插入图片描述

在这里插入图片描述

caisirking
关注
awd-platformAWD攻防平台
03-16
# AWD线下环境启动说明 by Hence Zhang @Lancet github上的项目,搬运了一下
网络攻防比赛平台源码(AWD-platform源码).7z
06-19
一个awd攻防比赛的裁判平台。 版本:beta v2.0 开发语言:python3 + django 平台分为两个部分 裁判机 靶机 通过特定接口,来实现靶机flag与服务器的通信 搭建流程 裁判机 安装所需环境 裁判机:python3+django 全局搜索woshiguanliyuan,并修改为随机字符串,此处为管理平台地址 /untitled/urls.py path('woshiguanliyuan/',views.admin,name='admin'), path('woshiguanliyuan/table/',views.admin_table,name='admin_table'), /app/views.py if 'woshiguanliyuan' not in request.META['HTTP_REFERER']: 第31和47换为你的目录 列:("/var/www/awd_platform/app/qwe.txt","a") 修改app/management/commands/init.py,添加用户 #['用户名','用户靶机token','用户靶机token'] user=[ ['123456','FF9C92C7SDFABB71566F73422C','FF9C92C7SDFABB71566F73422C'], ['aaabbb','311F8A54SV9K6B5FF4EAB20536','311F8A54SV9K6B5FF4EAB20536'] ] 修改/app/views.py第行d89f33b18ba2a74cd38499e587cb9dcd为靶机中设置的admin_token值的md5 if('d89f33b18ba2a74cd38499e587cb9dcd'==hl.hexdigest()): 运行 python3 manage.py init python3 manage.py manage.py runserver --insecure 靶机 安装所需环境 靶机:python+requests 修改send_flag.py参数,并将其放入靶机,设权限700。 靶机 sudo python send_flag.py。 靶机生成flag脚本,send_flag.py import requests import time import random import string import hashlib token='woshiwuxudong' # 红队 baji='311F8A54SV9K6B5FF4EAB20536' def getFlag(): #return ''.join(random.sample(string.ascii_letters + string.digits, 48)) m = hashlib.md5(''.join(random.sample(string.ascii_letters + string.digits, 48)).encode(encoding="utf-8")).hexdigest() return m while(1): f=open('/flag','w') flag=getFlag() f.write(flag) data={ 'flag':flag, 'token':token, 'baji':baji, } r=requests.post('http://127.0.0.1/caipanflag/',data=data) print(r.text) f.close() time.sleep(300) 重要须知 更新作者基础上: 1.增加flag验证一次性失效性,使得每个用户都并且仅可以提交一次flag 2.增加排名情况 3.flag改为MD5 4.增加丢失flag一轮扣100分
基于CardinalAWD攻防平台搭建与使用以及基于docker的题目环境部署
Welcome To Myon'Blog !
06-27 2997
正常 ./ 执行我们需要一直在这个终端挂着,否则Cardinal 就会断掉,靶场页面也就无法访问。因为我们的 mysql 数据库下还没有 test 这个用户,我们需要手动创建并赋予权限 ,test 这个用户相当于是我们平台的一个后台管理账户,因此这里直接给 root 权限。这样,即使我们关闭终端,Cardinal 也会一直处于运行状态。。
AWD-platform-master一些小问题
weixin_67876387的博客
02-28 275
随后自己遇到了点问题就是使用莫离的计分板的时候 发现他刷新分数刷新不出来 本来是需要更改成为主机的域名的 但是我试了下 我容器能够访问百度 但是不能访问我主机映射的8080端口 防火墙不会用 一般我都是关闭的。这个容器输入docker ps可以看到 flag_server的80端口是映射到主机的8080的,既然主机的8080无法访问 那这边暂时的解决方案是直接访问本地的80端口。附上莫离好看的计分板 (吐槽:居然写死队伍 不做动态适配。具体的部署方法推荐这一篇 是我看过的讲的最详细的。
AWD平台搭建——Cardinal
路baby的博客
08-24 6976
Cardinal 是由 Vidar-Team 开发的 AWD 比赛平台,使用 Go 编写。本程序可以作为 CTF 线下比赛平台,亦可用于团队内部 AWD 模拟练习。Cardinal 这个名字来源于作品《刀剑神域》中的游戏系统,小说中描述为可在无需任何人工外界输入就可以独立完成对玩家的监控、维护游戏数据平衡、自动产生新的游戏任务、进行自我修复与完善......
AWD练习平台搭建 & 附虚拟机资源
monster663的博客
06-04 4846
最近需要准备线下AWD了,但是没有那么多金币每天上BugKu的PVP在线AWD对战进行练习,于是想着可以自己搭建一个团队内部使用的AWD攻防平台,浅浅的记录一下。
AWD简单介绍和搭建AWD平台
热门推荐
kukudeshuo的博客
10-16 1万+
AWD简单介绍和搭建AWD平台 何为AWD 比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。 1、一般分配Web服务器,服务器(多数为Linux)某处存在flag(一般在根目录下) 2、可能会提供一台流量分析虚拟机,可以下载流量文件进行数据分析 3、flag在主办方的设定下每隔一定实践刷新一轮 4、各队一般都有自己的初始分数 5、flag一旦被其他队伍拿走,该队扣除一定积分 6、扣除的积分由获取flag的队伍均分 7、主办方会对每个
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
Cardinal AWD: 开源CTF比赛及攻击防守平台介绍
官方提供了丰富的文档和教程来指导用户如何搭建和使用AWD平台。 从功能介绍来看,Cardinal平台涵盖了比赛组织者在AWD赛事中所需的核心功能,包括创建题目、分配靶机给参赛队伍、发布比赛公告等。同时,平台支持对...
Cardinal:旨在快速安全地运行的操作系统
02-03
Cardinal是一个设计优雅的爱好者操作系统。 它从Plan 9和相关的OS中获得了很大的启发。 该存储库包含构建工作映像所需的内核,用户空间构建配置,补丁和脚本。 项目状态 该项目目前正在积极开发中。 加入我们,在...
CTF线下赛AWD脚本合集
08-25
本人在长城杯、蓝桥杯、巅峰极客等线下AWD攻防比赛所用到的全部工具(如WAF、EDR、文件监控脚本、文件还原脚本、混淆战局工具、流量监控工具、批量拿分脚本模板)和脚本以及教程及笔记还有练习平台和靶场源码,并...
Python-一个awd攻防比赛的裁判平台
08-10
一个awd攻防比赛的裁判平台
AWD_CTF_Platform:一个简单的AWD训练平台
05-13
CTF-AWD 训练平台 [TOC] 项目简介 一个简单的CTF-AWD平台,用于内部小型CTF对抗训练以及培训使用。 特点 docker化,简易部署 可部署在公网上,远程AWD攻防 训练环境可自定义扩展 基本使用方式 pre.py python pre.py web_chinaz 10 web_chinaz 为应用文件名称,10表示要生成的队伍数量 start.py python start.py 10 启动10个实例,以及check和flag服务。 stop_clean.py python stop_clean.py 暂停所有服务,并删除临时文件 注意,这里会删除所有现运行的容器,请谨慎使用。 pass.txt 存储队伍用户名密码,以及ssh、web端口 team01 ctf:308d66 ssh:2201 port:8801 team02 ctf:024b1d ssh:2202 po
awd网络攻防比赛平台.zip
09-30
比赛项目代码
一个awd训练平台
qq_44657899的博客
10-26 1万+
前言 如果是第一次打awd,那么使用这个平台是非常好的选择,下面我将我使用这个平台的过程和踩得坑一一列举,希望对其他awd新手有所帮助。 介绍这个平台的博客很多,我感觉这位师傅写的比较好,我刚开始就是看的这些博客学习如何使用: AWD线下攻防平台搭建 AWD线下攻防环境使用 文章目录前言0x01 环境配置-安装docker0x02 环境配置-配置加速服务器0x03 平台搭建0x04 平台使用0x05 一些小问题 0x01 环境配置-安装docker 我安装docker都是按下面这篇文章来的,一个命令一个命令
AWD平台搭建与使用入门
Flynn的博客
03-16 1万+
简单介绍 平台搭建 因为平台已经做的比较集成化,所以安装还是很简单的。 首先需要下载赛题项目 git clone https://github.com/zhl2008/awd-platform #这一条命令可以将文件下载到当前工作目录,文件名为awd-platform 因为项目地址是在github上面,所以对某些国内用户可能会有一些网络问题,这里博主搬运了一下,上传到csdn上面了。(点击前往) 然后需要下载docker sudo apt install docker.io 这里如果没有更换ap
CTF - AWD (Attack with Defense) 线上下赛 攻防平台
微风飘呀飘
05-28 6192
Ti0sAWD是由 Ti0s-Team 开发的 awd 竞技攻防平台,使用 PHP + Mysql 编写。 本程序可以作为 CTF 线上 线下比赛平台,亦可用于团队内部 AWD 模拟训练 推荐服务器 4H8G + 20G + Centos 网站架构: 前端:Materialize CSS +jQuery +部分Bootstrap,采用Html + Ajax动态刷新页面 后端:纯PHP 数据库:Mysql Awd 网络攻防竞技系统模式 基于Docker服务的Aw...
awd-php,awd-platform搭建
weixin_39638057的博客
03-12 825
环境准备ubuntu-18.04.1-desktop-amd64更改源、安装ssh、安装git、安装docker。下载awd-platform1git clone https://github.com/zhl2008/awd-platform.git下载镜像12docker pull zhl2008/web_14.04docker tag zhl2008/web_14.04 web_14.04创建...
探索CTF_AWD_Platform:一个创新的安全竞技与学习平台
gitblog_00032的博客
04-04 605
探索CTF_AWD_Platform:一个创新的安全竞技与学习平台 CTF_AWD_PlatformCTF 攻防对抗平台项目地址:https://gitcode.com/gh_mirrors/ct/CTF_AWD_Platform 是一个由xuchaoa开发的开源项目,旨在提供一个安全竞赛和知识共享的环境。这个平台融合了Capture The Flag(CTF)游戏元素和动态Web应用防御理念,...
awd靶场搭建
最新发布
04-03
### 如何搭建AWD(Attack with Defense)靶场环境 #### 一、AWD 靶场概述 AWD(Attack With Defense),即攻防兼备模式,是一种常见的网络安全竞赛形式。在这种模式下,参赛者不仅需要保护自己的服务不被攻击,还需要尝试突破对手的服务以获得分数。为了支持这种类型的竞赛,通常会使用专门开发的比赛平台,例如 Cardinal[^1]。 #### 二、所需工具与软件 构建 AWD 靶场的核心组件包括但不限于以下几项: - **Cardinal 平台**:这是一个基于 Go 的开源项目,专为 CTF 和 AWD 类型的比赛设计。 - **Docker 容器**:用于隔离各个队伍的运行环境,确保每支队伍拥有独立的服务实例。 - **Linux 系统**:推荐 Ubuntu 或 CentOS 作为服务器操作系统,便于 Docker 及其他依赖的安装。 #### 三、具体实施步骤说明 以下是关于如何设置 AWD 靶场的关键环节: ##### 1. 更新系统并准备基础环境 在正式部署之前,需先完成系统的初始化工作。这一步骤主要涉及操作系统的更新以及必要包管理工具的安装。例如,在 Debian/Ubuntu 上可以通过如下命令实现: ```bash apt-get update && apt-get upgrade -y ``` 接着安装 Docker CE 版本,这是后续创建动态或静态容器的基础条件之一。需要注意的是,由于网络状况不稳定可能导致初次执行失败,因此建议多次重试直至成功为止[^3]: ```bash apt-get install docker-ce -y ``` ##### 2. 下载与配置 Cardinal 比赛框架 访问官方仓库地址下载最新版本源码文件,并按照文档指引逐步调整参数设定满足实际需求。一般情况下,该过程包含以下几个方面的工作内容: - 克隆 Git 库到本地目录; - 修改默认端口号及其他关联选项以便适配现有硬件资源情况; - 启动后台进程监听来自客户端提交的数据请求。 ##### 3. 构建静态 Flag 提交机制 对于某些特定场景下的题目设计来说,采用固定不变的标志字符串可能是更为合适的选择。这种方式特别适用于那些希望考察选手能否发现隐藏缺陷或者解决既定难题的情况之下。此时可通过编写脚本来自动化生成这些唯一的标识符存放在相应的路径位置供后续检验之用[^2]: 假设我们有一个名为 `generate_flags.py` 脚本用来批量生产随机字符组成的 flags 文件夹结构如下所示: ``` flags/ ├── team1.flag ├── team2.flag ... └── teamN.flag ``` 那么对应的 Python 实现逻辑大致如此这般模样呈现出来给大家参考学习一下吧!当然也可以根据自己喜好选用别的编程语言来达成相同目的哦~ ```python import os import secrets def generate_flag(): alphabet = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789' return ''.join(secrets.choice(alphabet) for _ in range(32)) if __name__ == '__main__': num_teams = int(input("Enter number of teams: ")) base_dir = './flags/' if not os.path.exists(base_dir): os.makedirs(base_dir) for i in range(1, num_teams + 1): flag_content = generate_flag() file_path = f'{base_dir}team{i}.flag' with open(file_path, 'w') as f: f.write(flag_content) print(f'Generated {file_path}: {flag_content}') ``` ##### 4. 测试整体流程连贯性 最后但同样重要的一环就是进行全面的功能检测确认无误之后再投入使用阶段当中去啦~可以从不同角度出发模拟真实比赛期间可能出现的各种极端情形从而提前发现问题所在之处加以改进优化提高稳定性表现效果最佳! --- ####
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值