一带一路暨金砖大赛之企业信息系统安全赛项AWD_writeup 赛题解析

最新推荐文章于 2024-06-08 09:55:58 发布
最新推荐文章于 2024-06-08 09:55:58 发布
阅读量482 收藏 7
点赞数 10
分类专栏: 全国职业技能大赛-各类赛项赛题比赛综合任务书 文章标签: 安全 网络 writeup php cve
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/134694117
版权
一带一路暨金砖大赛之企业信息系统安全赛项AWD_writeup 赛题解析
摘要由CSDN通过智能技术生成

目录

AWD_writeup

1、解法一  

ssh弱口令账户

2、解法二

phpmyadmin getshell

3、解法三

CVE-2020-10238 后台远程命令执行

4、解法四

后台登陆首页存在常规后门


 

AWD_writeup

主要考点:后门账户、数据库操作、  cve漏洞、后门漏洞、自动化攻击

1、解法一  

ssh弱口令账户

用户登录后cat /etc/passwd 发现系统存在额外账户

使用msf进行ssh爆破尝试

msfconsole

use auxiliary/scanner/ssh/ssh_login

set rhost 192.168.2.162

set rport 22

最低0.47元/天 解锁文章
你可知这世上再难遇我
关注
  • 10
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2023第七届一带一路金砖大赛企业信息系统安全赛项样题
05-31
2023第七届一带一路金砖大赛企业信息系统安全赛项样题
记GFCTF线下AWD
yjprolus的博客
11-28 4447
参加的第一次线下AWD赛记录
探秘AWD比赛,你的技术提升之旅从这里开始!
最新发布
gitblog_00095的博客
06-08 274
探秘AWD比赛,你的技术提升之旅从这里开始! 项目地址:https://gitcode.com/AabyssZG/AWD-Guide 在这个数字世界里,网络安全显得至关重要,而CTF(Capture The Flag)比赛正是检验和提升这方面技能的最佳舞台之一。其中,AWD(Attack With Defense)模式以其实战性和对抗性深受广大安全爱好者喜爱。今天,我们有幸向你推荐一本独特的开源项...
[SSHsuoha]SSH批量改密、批量监控改密、批量命令执行工具、C段生成、批量(AWD比赛适用)
weixin_45446164的博客
12-04 612
这个主要的运行机制是生成IP段后存储到flagVPS,随后给每个IP单独一个线程让他持续监控是否是这个SSH秘钥,比如在的某些比赛可以通过这种方式更改别人的ssh秘钥上分,或者设置自己的账密来防止被别人改密,改密成功后输出到result.txt,SSH成功上线后会按行执行common.txt这个命令,然后把结果输出到commonResult.txt(可以根据运行模式来指定是否改密,是否执行命令,是否无限执行)common.txt ----->每次改密后执行的操作,一行一行执行
某团队线下赛AWD writeup&Beescms_V4.0代码审计
weixin_30302609的博客
09-04 484
还是跟上篇一样。拿别人比赛的来玩一下。 0x01 预留后门 连接方式: 0x02 后台登录口SQL注入 admin/login.php 在func.php当中找到定义的check_login函数 很明显看到没有过滤直接带入。 如右侧的可以看出来只是进行了简单的替换为null。所以直接重写即可bypass payload如下:   id?=...
AWD 线下攻防 指南 避坑
YX-hueimie
11-13 612
最近参加了省赛的线下AWD,遇到了一些坑,这里总结一下分享给没有打过AWD,即将要打AWD的师傅们。
2021一带一路金砖大赛企业信息系统安全赛项AWD-writeup(解析
12-18
1.参赛选手能够根据大赛提供的赛项要求,设计信息安全防护方案, 并且能够提供详细的信息安全防护设备拓扑图。 2.参赛选手能够根据业务需求和实际的工程应用环境,实现网络设 备、安全设备、服务器的连接,通过调试...
2018河北省网络信息安全大赛,HBINS AWD赛程序demo,含数据库.zip
11-09
信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用...
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
【标题】"BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip" 指的是2021年BugKu网络安全平台举办的AWD(Attack-Defend,攻防)CTF(Capture The Flag,夺旗)排位赛的实战题目,其中的"7"可能代表该赛事的第七个...
YJTZB_2019:2019年”应急挑战杯”大学生网络安全邀请赛转型原始码及writeUP
03-23
【标题】"YJTZB_2019:2019年”应急挑战杯”大学生网络安全邀请赛转型原始码及writeUP" 指的是一场在2019年举办的网络安全竞赛,名为“应急挑战杯”。该比赛主要面向大学生,旨在提升他们的网络安全技能和应急响应...
应急挑战杯大学生网络安全邀请赛 AWD 靶机题目源码+学习说明.zip
01-14
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习...应急挑战杯大学生网络安全邀请赛 AWD 靶机题目源码+学习说明.zip
2020第三届江西省高校网络安全技能大赛 线下赛 CTF&AWD Writeup
末初的CSDN博客
09-19 3756
文章目录CTFMiscBoring_exe!_ezAffineDaylightBlueWebAurora websiteweb2(忘了叫啥名)CryptoInterceptedtelegramAWDAWD1AWD2 CTF Misc Boring_exe !_ ..... ..... ..... ..... !?!!. ?.... ..... ..... ..... .?.?! .?... .!... ..... ..... !.?.. ..... !?!!. ?!!!! !!?.? !.?!! !!!.
关于awd赛制的学习路程·awd的理论内容
m0_61361405的博客
09-01 474
AWD(Attack With Defense,攻防兼备)模式是一个非常有意思的模式,你需要在一场比赛里要扮演攻击方和防守方,攻者得分,失守者会被扣分。也就是说,攻击别人的靶机可以获取 Flag 分数时,别人会被扣分,同时你也要保护自己的主机不被别人得分,以防扣分。在攻防模式中,参赛队伍分别防守同样配置的虚拟靶机,并在有限的博弈时间内,找到其他战队的薄弱环节进行攻击,同时要对自己的靶机环境进行加固防守。
红蓝对抗-AWD全流程攻略05(批量获取flag)
m0_67189356的博客
05-03 655
通过自动化实现批量获取flag
awd的批量脚本 pwn_北极星杯AWD-Writeup
weixin_39966909的博客
12-20 815
前言祝祖国70周年生日快乐,也祝星盟一周年生日快乐.感谢各位师傅在国庆假期抽出时间参加这次比赛,也感谢负责组织比赛的师傅忙前忙后.我是M09ic,负责本次北极星杯AWD的赛后分享.靠着抱大腿以及足够的运气,很荣幸获得了第二名.感谢小远师傅,sayhi师傅,以及Alkaid师傅大哥大嫂国庆好!!!先贴上web题目源码:因为是先上的waf再做的备份,所以看到waf相关的东西师傅们可以无视...web1...
2021一带一路金砖大赛企业信息系统安全赛项AWD_writeup
Jay
12-19 761
发现站点phpmyadmin 并且在 configuration.php文件中发现数据库连接用户和密码均为joomla。后台登录存在弱口令 用户名admin 密码 123456 其实这个后台用户名密码可以有好几个地方获取。审计源码发现在后台登录首页存在一句话后门,密码为cimer,尝试利用如下。主要考点:后门账户、数据库操作、cve漏洞、后门漏洞、自动化攻击。用户登录后cat /etc/passwd 发现系统存在额外账户。ls -al 发现站点的includes文件夹权限为777。尝试登录,发现登录成功。
AWD:赛前准备工作以及深度脚本讲解
薯片薯条的博客
11-10 9933
有幸被邀请代表学校去参加线下攻防,也就是俗称的AWD比赛。 当然,在这一方面我也只能算是小白,所以希望各位大佬在看完我写的博客以后能指正一些错误。 一.比赛介绍 AWD赛制是按照分组来进行比赛的。每组3-4人,经过不同的分工,从而实现对服务器的维护以及对其他人的服务器进行攻击。 每个服务器都会有一个提前放好的有漏洞的网站,需要进行代码审计,然后修补漏洞。 举个例子,某些参数一可以参杂系统的cmd命令上来,如果执行成功,就会获取你服务器上某个文件夹下的flag.txt的内容,一旦获取成功,就代表被攻破。 .
巅峰极客第一场CTF部分writeup
郁离歌丶的博客
07-22 6049
额,上午驾校学车,中午打了会儿安恒的月赛,就来看巅峰极客的题了。时间关系实力原因没做几个emmmm太菜了wa MISC-warmup-100pt 拿到一个bmp文件,套路走一波,右键查看属性emmm啥都没有。 丢到winhex里面也没有什么明显的提示或者信息。 放大招:stegsolve。放在各个颜色通道里面过一遍。 可以明显的看到每个颜色通道的最低位有异常数据。 将数据提取出来 ...
ctf_awd_platform
10-23
CTF(Capture The Flag)即夺旗赛,是一种网络安全竞赛形式。AWD(Attack-Defense)平台是一种特殊的CTF比赛平台,主要专注于攻击和防御的技能训练与比拼。 ctf_awd_platform是指一种特定的AWD平台,其目的是为了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值