基于 Swoole 构建的 CTF AWD 比赛环境搭建与实践

最新推荐文章于 2024-08-25 09:15:00 发布
最新推荐文章于 2024-08-25 09:15:00 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: 网络安全 文章标签: CTF PHP Swoole
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/winyuan789/article/details/89981514
版权

Author: Rytia
Date: 20190427
Blog: www.zzfly.net
本人才学疏浅,望君不吝赐教

背景

受学校老师邀请,为学弟学妹举办分享会介绍 AWD 相关经验,本人一时头脑风暴采用 PHP 的 Swoole 扩展搭建了比赛的环境,将分享会变成了友谊赛。

出题思路

本次题目来自于我的一个外包项目实践。项目里面大致有这么一个需求:客户登录系统后,由外部设备触发一个 websocket 发送操作(例如嵌入式中常遇见的“打开门禁”、“滴卡”、“按下开关”等),该请求接收方为某个已经登陆的某个用户(通常靠 user id 或用户名绑定)。本人在初次开发这类应用时,将用户唯一身份标识的 user id 作为了这个 websocket 通道的名字,如此一来带来的后果便是无论这个用户在哪台电脑登录,无论用户登陆多少次(小项目无重复登陆+挤下线判断),只要成功登录并打开相应网页便会收到这个 websocket 请求,带来了某些非预期的信息泄露。在实际的项目中解决方法有很多,例如重复登陆的判断以及 websocket “匿名通道”建立。本次出题,便以此为基础展开

AWD 运作原理

CTF-AWD 是线下赛中常见的比赛类型,通常因为攻守兼备而广受选手喜爱。这里我主要实现了 AWD 两大关键功能:回合制 、 存活检测 与 动态 flag,至于 flag 提交等前端部分内容,则交由我校 GOCTF 平台处理。

  • 回合制:比赛以 10 分钟为一回合。在中心服务器方面,事先使用脚本,根据已开启的靶机数量以及 ip 生成 flag 并保存为文件,并于比赛开始时记录开始时间。每次中心服务器接收到选手靶机的请求时,根据靶机的 ip,以及距离比赛开始的时间,计算出当前处于第几个回合,并返回 flag 数组中相应的值。而在 pusher (一个第三方 websocket 工具,可以为 cli 运行的脚本语言提供发送 websocket 的能力,本次出题依赖 pusher 进行),同样以 10 分钟为一回合,主动向选手端推送含有比赛关键内容的消息
  • 存活检测:本次平台存货监控设置的比较简单,主要为 web 服务(靶机 80 端口)的监控。每隔一段时间向靶机发送 http 请求,下载靶机上某个保存着 pusher 密钥的 js 文件,若该文件大小符合预期,则判定靶机存活。选手在比赛过程中需要盗取到对手的密钥,以窃听他方 websocket 内容,并修改己方 pusher 密钥以放泄露
  • 动态 flag:该部分同样由中心服务器与 pusher 完成。中心服务器在被请求时根据时间不同(回合不同)向选手返回不同 flag。pusher 根据时间不同(回合不同)主动推送不同的 flag 到选手的页面上。

AWD 缺陷总结

本次比赛完成之后,发现这套平台想要真正用于日常选手的训练还有几个问题需要克服

  • 由于学校 GOCTF 平台截止比赛时仍未能很好的支持动态 flag 功能,因此根据每一回合中心服务器主动通知CTFF平台 flag 变更的功能无法实现,只能暂时让选手记录自己的 flag 233333….TAT
    时钟难以统一。因为 pusher 和 AWD 中心服务器不一定运行在同一台服务器上,且中心服务器为被- 动接收数据,pusher 为主动推送,加之启动时间先后有别,因此每个回合难以做到完全统一。往后如果需要再次制作 AWD 比赛平台可以加一个定时心跳包以保证时钟统一

Writeup

介绍完比赛平台的基本运作思路,下面简单讲解一下这道 AWD 题目的做法。

访问 80 端口,注册多个用户,登陆系统后,发现 User ID 为1的用户已经注册,且系统提示一定要以 User ID 为 2 的用户登录
登录到 User ID 为 2 的用户后,发现页面启动了 websocket ,隧道名称为 user.2。切换到其他用户后均发现隧道名称为 user.* (*为当前用户登录 id) 的 websocket 链接
每一回合,发现被主动以弹窗形式提醒了“比赛消息”,且“比赛消息”中包含 flag1,但是弹窗出现后2秒内强制跳转到了用户注销页面(暗示含有XSS)
登录服务器后台,修改视图文件( home.blade.php ),将底部 JS 部分中当前用户 ID 的输出 user.{{Auth::user()->id}} 修改为 user.1 (表示强制接收 user.1 隧道的消息)
下一回合推送,接收到了 user.1 的消息,得到 flag2,且 flag2 以 = 结束,像 base64 编码,解码后得出 (保密) 账户的密码的 rot13 值,重新进行 rot13 旋转后得到正确密码
以 (保密) 管理员身份登录后,发现有头像上传的模块,且仅做了前端校验,burpsuit 修改请求中的文件名即可上传PHP“菜刀”,得到系统 shell,且用户为 root
了解整个过程后,发现 pusher.js 中含有 pusher 账户的密钥,且这个文件可以在80端口轻松下载,因此每台靶机都存在泄露问题。得到对手的 pusher 密钥后,修改到自己的服务器上即可接收到对手的 user.1 隧道中的消息,获取到对手的 (保密) 管理员账号密码,从而利用文件上传漏洞 get shell。

除了常规的备份、上监控、源码审计外,主要有以下几点解题思路。

主线

/root 目录下存在 readme.txt,提示从历史命令记录里寻找入口点
发现以下两条命令可疑:curl 172.17.0.1 和 php artisan tinker
使用 `ip addr 命令发现与前条命令处于同一网段,猜测是向中心服务器发起请求
进行 curl 测试发现无此命令,且 apt、yum 等工具均为无效,使用 cat /etc/issue 查看到当前系统为 alpine linux,因此使用 apk add curl 命令安装 curl 工具,正常请求后得到 flag3
根据比赛规则,flag3 为动态 flag,每回合变动一次,且不能提交自己靶机上的,因此可以按照这个思路去配合负责进攻部分的队友完成对方靶机的渗透
php artisan tinker 命令为赛题所用 Laravel 框架对 psy shell 的封装,可以直接进入 psy shell 通过 ORM 操作修改管理员账户的密码,从而获取自己靶机的管理员权限,与上文所述修改 user id 以窃听 websocket 的效果相似,但是难度比较大,也不太符合预期关于 websocket 的考点

副线

每个回合接收到弹窗,都会被强制跳转到“注销”页面,推测有 XSS 漏洞,进行源码审计后,将 resources/views/home.blade.php 文件中 $(“”).html(data.message) 修改为 $(“”).text(data.message) 即可不解析推送内容以放推送 XSS 投毒(仰天大笑~)
源码审计发现存在 upload() 方法用于处理 /upload 这个 url 下的文件上传操作,且不对扩展名、mine type 等进行判断, 可以给对手的服务器尝试强制上传文件。但是 Laravel 框架默认开启 csrf 拦截,需要在对手服务器上注册一个账号以获取 csrf token

Github 项目地址

https://github.com/zzfly256/CTF-AWD-demo

运行环境

AWD 平台部分:PHP 7 + Swoole 4
靶机部分:任意版本 docker

项目文件介绍

  • server:AWD 中心服务器,运行于 docker 母机,负责根据提供每个回合的 flag:flag3
    • getFlag 文件为 php 可执行文件,根据 docker ps 命令中的启动的容器的 ip,为容器生成不同的 flag 并保存为 flags.json
    • server 文件为 php 可执行文件,监听 80 端口,根据不同回合返回 flags.json 文件中的相应值
    • flags.json 保存生成的 flag
  • pusher:Pusher.js 的服务端,运行于 docker 母鸡或任何一台电脑。关于 pusher 的介绍可移步官网:www.pusher.com
    • pusher-admin 文件为 php 可执行文件,为赛题中管理员用户推送消息(供选手窃听 websocket,包含一个 flag :flag2)
    • pusher-user 文件为 php 可执行文件,为赛题中(ID为 2 )的普通注册用户推送消息(包含一个 flag : flag1)
    • monitor 文件为 php 可执行文件,用于监控选手靶机是否存活(监控 web 服务/ pusher.js 文件大小)
    • pusher-server 文件为 php 可执行文件,按照回合(时间)推送消息以及存活检测
    • getFlag 文件为 php 可执行文件,生成管理员消息(flag2)所用
    • pusher-key.json 保存各个靶机的 pusher 密钥,以及 flag2 的值(flag1的值为固定值,每个选手一样)
  • web:比赛赛题企业网站部分, 是为 laravel 5.8 框架,采用 sqlite 数据库
    • 业务逻辑主要在 /app/Http/Controllers/HomeController.php
    • 视图文件在 /resources/views 目录下
  • docker:靶机 docker 镜像

更多

更多关于本项目的介绍,可以移步:http://www.zzfly.net/build-a-ctf-awd-platform-by-swoole/

Rytia
关注
专栏目录
AWD_CTF_Platform:一个简单的AWD训练平台
05-13
CTF-AWD 训练平台 [TOC] 项目简介 一个简单的CTF-AWD平台,用于内部小型CTF对抗训练以及培训使用。 特点 docker化,简易部署 可部署在公网上,远程AWD攻防 训练环境可自定义扩展 基本使用方式 pre.py python pre.py web_chinaz 10 web_chinaz 为应用文件名称,10表示要生成的队伍数量 start.py python start.py 10 启动10个实例,以及check和flag服务。 stop_clean.py python stop_clean.py 暂停所有服务,并删除临时文件 注意,这里会删除所有现运行的容器,请谨慎使用。 pass.txt 存储队伍用户名密码,以及ssh、web端口 team01 ctf:308d66 ssh:2201 port:8801 team02 ctf:024b1d ssh:2202 po
搭建CTF-AWD训练平台
热门推荐
test
05-21 5万+
下载 git clone https://github.com/zhl2008/awd-platform 项目大小是429.03M,下载了整整一个小时 项目说明 AWD线下环境启动说明 by Hence Zhang @Lancet 比赛的环境介绍: 服务器全部以docker形式部署在同一台虚拟机上。 Check_server: 服务检查服务器,用于判定选手维护的服务是否可用,如果不可用,则...
CTF竞赛平台搭建(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
leah126的博客
08-25 1439
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
awd平台搭建
yy652的博客
01-19 380
docker 安装 https://www.cnblogs.com/wyt007/p/10295834.html
关于awd赛制的学习路程·环境搭建
m0_61361405的博客
09-01 278
在安装好了之后会发现:在Ubuntu中复制的内容,在主机中并不相通。(当然这和搭建环境并没有什么关系,但是之后在其他网页复制代码什么的会方便很多)
搭建CTF比赛平台
飞花的世界
08-12 9510
http://123.206.21.163 这个是我按照 这个人的代码,修改后的。说实话,这个平台写的很精简,也很棒。代码啥的也很舒服,可惜就是没文档,所以最开始的时候,花了我两天时间大致阅读完了,知道哪一比分怎么改,干嘛的。上面的网址是效果。 接下来放他的github地址 PS 下面有演示图片,但是因为是异步加载图片,所以有点慢,等下就好。这个比赛平台做的真的挺好的 https://git...
基于 Swoole 构建CTF AWD 比赛平台初试水,附带一道题目以及完整 docker.zip
09-30
【标题】基于Swoole构建CTF AWD比赛平台初试水,附带一道题目以及完整docker.zip 本文将详细介绍如何使用Swoole技术构建一个CTF(Capture The Flag)攻防战平台,特别是Allied With Death (AWD)模式。在AWD模式下...
swoole-link-monitor:基于swoole计时器与woker实现互连监控
03-18
基于swoole计时器/表/过程(工作者)实现内部监控与调整 基于swoole独立部署 定时器 进程多进程数值模式消费监听双向 表内存表记录出错次数与时间 无限扩展连结类型 无限扩展预设类型 双向支持 Rabbitmq MySQL的 ...
在Windows系统上安装Cygwin搭建Swoole测试环境的图文教程
10-15
在Windows系统上搭建Swoole测试环境,通常需要借助Cygwin这个开源工具,因为Swoole是一款基于Linux系统的PHP扩展,而Windows原生环境不支持。Cygwin提供了一个类Unix的环境,使得开发者能在Windows上运行许多原本只...
记一次学校awd平台搭建
zinuoixiaoting的博客
05-29 1799
然后进去docker-compose up -d --build启动 需要注意的是因为第二个靶机是复制的所以我们需要去改一下docker-compose.yml配置如图。1.http://ip:19999/manager 管理员账号密码就是一开始设置的 admin 123456 设置的简单主要为了演示方便实际使用一定要设置复杂的密码。要注意的是通过我的文章修改了以后如果已经设置了密码则需要重新设置mysql密码 默认为空密码。依次填写内容这边唯一要注意的是填写的ssh密码是要root的密码的。
AWD工具.zip(实验环境)
01-12
网络攻防比赛平台(AWD攻防平台),python写的,支持自动排名,自动生成flag,自动检测宕机,设置队伍token,flag自动过期与检测一次性等等超全功能。
awd-platform-master.zip
09-07
github上下载太慢了,特意搭飞机下回来给需要的人。项目大小是429.03M,下载了整整一个小时,项目是以docker的形式安装的,安装手册网上一大堆。
网络攻防比赛平台源码(AWD-platform源码).7z
06-19
一个awd攻防比赛的裁判平台。 版本:beta v2.0 开发语言:python3 + django 平台分为两个部分 裁判机 靶机 通过特定接口,来实现靶机flag与服务器的通信 搭建流程 裁判机 安装所需环境 裁判机:python3+django 全局搜索woshiguanliyuan,并修改为随机字符串,此处为管理平台地址 /untitled/urls.py path('woshiguanliyuan/',views.admin,name='admin'), path('woshiguanliyuan/table/',views.admin_table,name='admin_table'), /app/views.py if 'woshiguanliyuan' not in request.META['HTTP_REFERER']: 第31和47换为你的目录 列:("/var/www/awd_platform/app/qwe.txt","a") 修改app/management/commands/init.py,添加用户 #['用户名','用户靶机token','用户靶机token'] user=[ ['123456','FF9C92C7SDFABB71566F73422C','FF9C92C7SDFABB71566F73422C'], ['aaabbb','311F8A54SV9K6B5FF4EAB20536','311F8A54SV9K6B5FF4EAB20536'] ] 修改/app/views.py第行d89f33b18ba2a74cd38499e587cb9dcd为靶机中设置的admin_token值的md5 if('d89f33b18ba2a74cd38499e587cb9dcd'==hl.hexdigest()): 运行 python3 manage.py init python3 manage.py manage.py runserver --insecure 靶机 安装所需环境 靶机:python+requests 修改send_flag.py参数,并将其放入靶机,设权限700。 靶机 sudo python send_flag.py。 靶机生成flag脚本,send_flag.py import requests import time import random import string import hashlib token='woshiwuxudong' # 红队 baji='311F8A54SV9K6B5FF4EAB20536' def getFlag(): #return ''.join(random.sample(string.ascii_letters + string.digits, 48)) m = hashlib.md5(''.join(random.sample(string.ascii_letters + string.digits, 48)).encode(encoding="utf-8")).hexdigest() return m while(1): f=open('/flag','w') flag=getFlag() f.write(flag) data={ 'flag':flag, 'token':token, 'baji':baji, } r=requests.post('http://127.0.0.1/caipanflag/',data=data) print(r.text) f.close() time.sleep(300) 重要须知 更新作者基础上: 1.增加flag验证一次性失效性,使得每个用户都并且仅可以提交一次flag 2.增加排名情况 3.flag改为MD5 4.增加丢失flag一轮扣100分
为应对CTF比赛而搭建的各种环境.zip
08-24
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。 全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。
AWD:搭建
qq_38618396的博客
08-25 565
1、下载地址:git clone https://github.com/zhl2008/awd-platform.git 2、进入项目:cd awd-platform 3、通过docker下载镜像:docker pull zhl2008/web_14.04 4、修改镜像名字(或者改代码):docker tag zhl2008/web_14.04 web_14.04 5、创建赛题及队伍数量: python batch.py web_yunnan_simple 2 web_yunnan_simple 为赛题;2
GITHUB 上的 CTF 平台(一)
single7_的博客
10-20 1676
CTF 平台探索之旅 文章目录CTF 平台探索之旅前言1.picoCTF2.FBCTF3.CTF4.tinyctf5.RootTheBox6.ctf-platform7.ColdCore8.djangoctf9.nullctf10.NightShade11.mkCTF12.SCTF13.ProjectAsya14. 前言 在前段时间的两个旅途之后,开始了对 CTF 平台探索的开始,首先进入 python 的洞穴 1.picoCTF 项目地址:https://github.com/picoCTF/picoC
AWD模拟搭建
摘星怪sec的blog
05-12 863
搭建Cardinal平台平台搭建环境:KaliDockermysqlCardina根据自己的操作系统选择,这里我的是第四个。
CTF资料-CTF攻防部署
Coisini的博客
05-27 694
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值