Attack With Defence
攻防兼备–赛制
比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍进行得分,修复本服务器漏洞可以避免被其他队伍攻击导致失分。
1.一般分配Web服务器,服务器(多数为Linux)某处存在flag(一般在根目录下)
2.可能会提供一台流量分析虚拟机,可以下载流量文件进行数据分析(视比赛情况而定)
3.flag在主办方的设定下每隔一定时间刷新一轮
4.各队一般都有自己的初始分数
5.flag一旦被其他队伍拿走,该队扣除一定分数
6.扣除的分数由获取flag的队伍均分
7.主办方会对每个队伍的服务进行check(检查服务是否正常),服务宕机扣除本轮flag分数,扣除的分值由服务check正常的队伍均分
8.一般每个队伍会给一个低权限用户,非root权限
(具体规则以具体比赛规则为准)
先理清网络拓扑关系,节点与各链路间的关联。
比赛分工
线下赛一般3个人左右,2人攻击,1人防御,发现的漏洞可以攻击其他队伍,也要修复,攻防相辅相成,以攻为守。
竞赛题型
主要题型为Web和Pwn,涉及语言多数为PHP,还有少量java、python。
Web主要是一些CMS和框架安全漏洞,如注入、上传、反序列化等,依赖已知漏洞。
竞赛流程
一般比赛会将加固环节和攻击环节分开,先统一加固后再进行攻击。
赛前信息确认
1.比赛名称
2.IP白名单:白名单一般用于防止外部恶意攻击,如果赛方发现名单以外ip可能会进行封禁处理。
3.用户登录服务器,如:账号test01密码test01@123,端口3322,linux系统,登陆工具xshell、finalshell等。
4.token认证:token主要用于脚本身份凭证,用于自动化提交鉴别,虚拟IP为靶机访问网址。
5.服务器端口:主要用于扫描其他选手靶机用来攻击获取到根目录flag并提交得分。
6.flag提交处
7.接口:api:https://xxxx.com/submit/?token=[token]&flag=[flag{123456}](根据实际规则去更改)
AWD赛事
服务器登录:通过SSH连接服务器,拿到网络拓扑,与队友分工,检查有无弱口令,有的话对密码进行修改(越复杂越好)。web服务后台登录也有可能存在弱口令,一般admin:admin、admin:123456,需要立即修改,以免被getshell。比赛开始前要第一时间备份服务器中web目录下的文件(/var/www/html),如果服务器在比赛中出现异常的情况,可以立即恢复到初始状态。一般比赛可以提供3次左右的恢复设置的机会(可能会扣分),比赛时同时要备份数据文件。文件监控、端口扫描等……
Attack
信息收集
主机探测一般用
nmap、httpscan
查看主机ip
ipconfig windows
ifconfig linux
扫描C段存活主机
nmap -sn 192.168.0.0/24 扫描C段主机
httpscan.py 192.168.0.0/24 -t 30 扫描C段主机 线程
端口探测
一般先收集自己的主机端口信息,挂后台全端口扫描防止端口遗漏
nmap -sV 192.168.0.1 扫描主机系统版本
nmap -sS 192.168.0.1 扫描主机常用端口
nmap -sS -p 80,445,3306,8080,8888 192.168.0.1 扫描主机部分端口
nmap -sS -p- 192.168.0.1 扫描主机全部端口
nmap官方文档:https://nmap.org/man/zh/man-host-discovery.html
httpscan主机探测
应用发现
组件发现
find / -name \”nginx.conf\” 定位nginx目录
find / -path \”nginx\” -name nginxconf 定位nginx配置目录
find / -name \”httpd.conf\” 定位apache目录
find / -path \”apache\” -name apacheconf 定位apache配置目录
网站发现
find / -name \”index.php\” 定位网站目录
日志发现
/var/log/nginx/ 默认nginx日志目录
/var/log/apache/ 默认apache日志目录
/var/log/apache2/ 默认apache日志目录
/usr/local/tomcat/logs tomcat日志目录
tail -f xxxx.log 实时刷新滚动日志文件
备份扫描
扫描工具BakFileScan、dirsearch
查找预留后门
有的比赛为了照顾其他选手,赛事方会预留一句话后门,可利用漏洞攻击,可利用这个漏洞维持权限,达到每轮得分。将整个web目录下载到本地,使用hm.exe、D盾或者其他扫描工具得出
提前准备脚本
代码审计
用于发现漏洞,进行漏洞修复
一句话木马
配置为?b=))99)rhC(tseuqeR lave
不死马
杀掉不死马
上传上面的不死马并访问,就会一直生成.1.php的一句话木马(文件名前加一个点,能更好地隐藏文件)想要结束这个进程,先查看进程,查看对应的pid,再执行。
建立一个和不死马一样名字的文件夹,这样不死马就写不进去
rm -rf .1.php | mkdir .1.php
执行system(\’kill -9 -1\’)
shell.php?shell=system(\’kill -9 -1\’);
重启服务
apache、web
但要求有一定的权限root
攻击利用
攻击主机端口
利用未授权访问漏洞和弱口令漏洞
工具:hydra(九头蛇)、弱口令暴力破解工具等
攻击Web服务
Web后台弱口令
漏洞资料库
已知漏洞检测工具
权限提升
一般提权 https://cloud.tencent.com/developer/article/1942516
提权脚本 https://github.com/SecWiki/linux-kernel-exploits
权限维持
拿到webshell后,需要进行维持权限,简单的webshell会被一眼识破,在AWD中使用不死马、反弹shell等留后门方式维持权限。
隐藏的文件读取
header(php\’flag:\’,file_get_contents(\’/tmp/flag\’));
可以的话,将flag信息直接读取并返回到header头中
快速得分
编写python脚本或利用curl工具进行批量获取flag
脚本or框架
Defence
网站备份
目的是防止修改源码出错,或者被对手恶意删除源码,或者快速恢复网站防止被裁判组check探测服务存活失败而丢分。
压缩文件
tar -cvf web.tar /var/www/html
zip -q -r web.zip /var/www/html
解压文件
tar -xvf web.tar -c /var/www/html
unzip web.zip -d /var/www/html
备份到服务器
mv web.tar /tmp
mv web.zip /home/test
上传下载文件
scp username@servername:/path/filename /tmp/local_destination 从服务器下载单个文件到本地
scp /path/local_filename username@servername:/path 从本地上传单个文件到服务器
scp -r username@servername:remote_dir/ /tmp/local_dir 从服务器下载整个目录到本地scp -r /tmp/local_dir username@servername:remote_dir 从本地上传整个目录到服务器
SSH相关工具
xshell
secureCRT
finalshell
FTP相关工具
FileZilla
WinSCP
SmartFTP
数据备份
数据库配置信息一般可以通过如config.php/web.conf等文件获取。
备份指定数据库MySQLdump -u username -p passwd databasename > bak.sql
备份所有数据库mysqldump -all -databases > bak.sql
导入数据库mysql -u username -p passwd database < bak.sql
信息搜集
netstat -ano/-a 查看端口情况
uname -a 系统信息
ps -aux ps -ef 进程信息
cat /etc/passwd 用户情况
ls /home 用户情况
id 用于显示用户id及所属群组id
find / -type d -perm -002 可写目录检查
grep -r \”flag\” /var/www/html 查找默认flag
口令更改
信息收集后,将未授权和弱口令问题及时修复,服务器ssh口令、数据库口令和web服务口令
passwd username ssh口令修改
set password for mycms@localhost = password(\’123\’); MySQL密码修改
find /var/www/html -path \’config\’ 查找配置文件中的密码凭证
备份检查
find /var/www/html -name \”.tar\”
find /var/www/html -name \”.zip\”
后门查杀
通过命令查看可疑文件
find /var/www/html -name .php -mmin -20 查看最近20分钟修改文件
find ./ -name \’.php\’ | xargs wc -l | sort -u 寻找行数最短文件
grep -r –include=.php \’a-zeval($_POST\’ /var/www/html 查看包含关键字的php文件
find /var/www/html -type f -name \”.php\” | xargs grep \”eval(\” |more
查杀:河马webshell和D盾查杀
写木马杀死不死马进程
后门用户查杀:UID大于500的都是非系统账号,500以下的都为系统保留的账号使用userdel -r username 删除账户
部分后门过于隐蔽,可使用ls -al查看所有文件及文件修改时间和内容进行综合判断,进而删除
伪装后门
404 NOT FOUNDNOT FOUND
The requested URL was not found on this server.
关闭进程ps -auxkill -9 pid
关闭端口
netstat -anp
firewall-cmd –zone=public –remove-port=80/tcp -permanent 关闭端口
firewall-cmd -reload 重载防火墙
漏洞修复
漏洞修复遵循保证服务不长时间宕机的情况下进行修复,多使用安全过滤函数,能修复尽量修复,不能修复先注释或删除相关代码,但需保证页面显示正常。
可以下载文件到本地进行修改后上传到服务器进行覆盖操作,也可通过vim编辑器进行代码修复
操作参考:https://www.cnblogs.com/iAmSoScArEd/p/10651947.html
文件监控
文件监控可及时发现木马文件生成,及时删除防止丢分
https://github.com/TheKingOfDuck/FileMonitor
使用系统chattr i命令linux下的文件有隐藏属性,可用lsattr命令查看。其中有一个i属性,表示不得更改任意文件或目录,若已经有root或者sudo权限,即可使用chattr i修改文件隐藏属性,这样所有用户都不能对该文件或目录进行修改删除等操作,若想进行修改,必使用chattr -i取消隐藏属性。
防止系统中某个关键文件被修改
chattr i /etc/profile
将/var/www/html目录下的文件设置为不允许任何人修改
chattr -R i /var/www/html
使用python的第三方库pyinotify
python setup.py install
python -m pyinotify monitoring_path
部署WAF
waf.php
$value) { if (substr($name, 0, 5) == \’HTTP_\’) $headers[str_replace(\’ \’, \’-\’, ucwords(strtolower(str_replace(\’_\’, \’ \’, substr($name, 5))))) ] = $value; } return $headers; } } $get = $_GET; $post = $_POST; $Cookie = $_COOKIE; $header = getallheaders(); $files = $_FILES; $ip = $_SERVER[\”REMOTE_ADDR\”]; $method = $_SERVER[\’REQUEST_METHOD\’]; $filepath = $_SERVER[\”SCRIPT_NAME\”]; //rewirte shell which uploaded by others, you can do more foreach ($_FILES as $key => $value) { $files[$key][\’content\’] = file_get_contents($_FILES[$key][\’tmp_name\’]); file_put_contents($_FILES[$key][\’tmp_name\’], \”virink\”); } unset($header[\’Accept\’]); //fix a bug $input = array( \”Get\” => $get, \”Post\” => $post, \”Cookie\” => $cookie, \”File\” => $files, \”Header\” => $header ); //deal with $pattern = \”select|insert|update|delete|and|or|\’|/*|*|../|./|union|into|load_file|outfile|dumpfile|sub|hex\”; $pattern.= \”|file_put_contents|fwrite|curl|system|eval|assert\”; $pattern.= \”|passthru|exec|system|chroot|scandir|chgrp|chown|shell_exec|proc_open|proc_get_status|popen|ini_alter|ini_restore\”; $pattern.= \”|`|dl|openlog|syslog|readlink|symlink|popepassthru|stream_socket_server|assert|pcntl_exec\”; $vpattern = explode(\”|\”, $pattern); $bool = false; foreach ($input as $k => $v) { foreach ($vpattern as $value) { foreach ($v as $kk => $vv) { if (preg_match(\”/$value/i\”, $vv)) { $bool = true; logging($input); break; } } if ($bool) break; } if ($bool) break; }}function logging($var) { date_default_timezone_set(\”Asia/Shanghai\”);//修正时间为中国准确时间 $time=date(\”Y-m-d H:i:s\”);//将时间赋值给变量$time file_put_contents(LOG_FILENAME, \”rrr\” . $time . \”r\” . print_r($var, true) , FILE_APPEND); // die() or unset($_GET) or unset($_POST) or unset($_COOKIE); }waf();?>
取决于比赛规则
常见PHP网站系统WAF添加路径
DiscuzX2 configconfig_global.php
WordPress wp-config.php
Metinfo includehead.php
PHPCMS V9 phpcmsbase.php
PHPWIND8.7 datasql_config.php
DEDEcms datacommon.inc.php
常用命令
ssh username@ip
scp filepath username@ip:存放路径
cat /root/.bash_historylast -n 5|awk \'{print $!}\’ 显示最近登录的5个账号
cat /etc/passwd|awk -F \’:\’ \'{print $1}\’ 显示/etc/passwd的账户
awk -F: \'{if($3==0)print $1}\’ /etc/passwd 查看UID为0的账号
find . -name \”.php\” -perm 4777 查找权限777的文件
find ./ -mtime 0 -name \”.php\” 查找24小时内被修改的PHP文件
netstat -antulp | grep EST 查看已建立的网络连接及进程
lsof -i:port
netstat -tunlp|grep port 查看指定端口被哪个进程占用
iptables -I INPUT -s source_ip[/mask] -j DROP 封杀某个IP或IP段
iptables -t filter -A INPUT -s source_ip[/mask] -p tcp –dport 22 -j DROP 禁止从某个主机ssh远程访问登陆到本机
crontab [-u user] file_name crontab [-u user] [-e |-l| -r] 定时任务,在固定的时间间隔执行指定的系统指令或shell script
netstat -ant|awk|grep|sed -e -e|sort|uniq -c|sort -rn 检测所有的tcp连接数量及状态
cat /var/log/apache2/access.log|cut -f1 -d|sort|uniq -c|sort -k -r|head – 查看页面访问排名前十的IP
cat /var/log/apache2/access.log|cut -f4 -d|sort|uniq -c|sort -k -r|head -查看页面访问排名前十的URL
网络控制
只开放一些比赛用的必要端口,防止后门连接
开放ssh
iptables -A INPUT -p tcp –dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 22 -j ACCEPT
打开80端口
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp –sport 80 -j ACCEPT
开启多端口简单用法
iptables -A INPUT -p tcp -m multiport –dport 22,80,8080 -j ACCEPT
限制IP连接数和连接速率
iptables -I INPUT -p tcp –dport 80 -m connlimit –connlimit-above 30 -j REJECT 单个IP的最大连接数为30
iptables -A OUTPUT -p tcp –sport 22 -m state –state ESTABLISHED -j ACCEPT
iptables -t filter -A FORWARD -s 1.1.1.1 -d 1.1.1.2 禁止从客户机1.1.1.1访问1.1.1.2上的任何服务
iptables -I INPUT -s 1.1.1.1 -j DROP 封杀1.1.1.1这个IP
过滤异常报文
iptables -A INPUT -p tcp –tcp-flags SYN,FIN,ACK,RST SYN 表示SYN FIN ACK RST的标识都检查,但只匹配SYN标识
iptables -A INPUT -p tcp –syn 匹配SYN标识位iptables -A INPUT -p tcp –tcp-flags ALL FIN,URG,PSH -j DROP 检查所有的标识位,匹配到FIN URG PSH的丢弃
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP 丢弃没标识位的包
iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j DROP 匹配到SYN RST的丢弃
iptables -A INPUT -p tcp –dport 80 -m limit –limit 20/minute –limit-burst 100 -j ACCEPT 防DDOS
流量分析
在比赛机器上使用命令进行流量抓取
tcpdump -s 0 -w flow_log.pcap port 9999
日志分析
analys_log.php
防守框架
PS:作为一名AWD比赛选手,我们也要做好写批量获取及提交脚本的准备奥
