AWD

Posted on Edited on In

前言

武汉到上沙到益阳到长沙到无锡,打完了两场AWD,整个人都被打傻了,但还是学到了些东西,师傅们tql了,Orz。再次记录一些体会。

起手式

在打湖湘杯AWD之前,做了很多功课,包括看了ylg师傅18年的那篇博客,但都大同小异,大致流程差不多,如下:

  • 改ssh密码
  • 备份网站源码 数据库
  • D盾扫一下,删一下后门
  • 部署流量监控脚本
  • 挂WAF(这个谨慎点,可能过不了check)

刚打湖湘杯的时候,给了30分钟的准备时间,选手之间互相隔离。准备的时候还是挺慌张的,第一次接触AWD,结果改ssh密码就用了3分钟(dog),数据库配置文件没找到,导致没有备份数据库文件。D盾扫了一下后门,都给删掉了。

然后比赛不到10分钟就被别人打了,半个小时后就被别人删库了,分数一直掉,然后队友告诉我流量监控脚本也没部署成功,我心态直接炸了。确实怕被打成负分,但还是硬着头皮打。

然后就开始了代码审计,给的是框架,对框架的一些布局不是很清晰,导致看了很久,只能先用seay扫一下,然后看爆出的可能存在的漏洞点,然后去一点点看,结果找到了一个任意文件读取的洞,然后就用这个洞去拿flag,因为没有写自动提交flag的脚本,所以让队员阿邹当了一次工具人(手动提交flag),一开始可以提交40多个队的,后面到最后也可以提交10多个。

打完之后跟师傅们交流,发现真有队伍是不改ssh密码的,真有队伍是不删掉后门文件的,啊这,啊这。

湖湘杯最后拿到20挺意外的,因为是第一次AWD,本以为会倒数2333,从湖湘杯中学到的东西:

  • 加强代码审计和脚本编写的能力,便于批量去打漏洞

然后基本没有再此基础上准备啥,就去打太湖了。

太湖前一天晚上,队友跟我说明天流量监控脚本必部署上去,然后就是大家一起在跑一些自动化脚本。

第二天太湖,没给30分钟准备,我后门还没删完,就被人家传不死马了,然后又告诉我流量监控没部署成功,心态二次爆炸。

数据库再次备份失败,被人删库。然后就一直被打,但是在第四个靶机上面的runtime目录下找到了日志,进行了一波日志分析,用别人的payload打,一开始傻逼了,没有看源代码,直接看别人的作业,结果是假的payload。其实就改了一小部分,到后来开始发现问题,改过来,打了4个队,太晚了。后来最后一个小时队友成功部署流量监控,用别人的payload打了一波,只打到一个队。然后就一直割那5个队的韭菜。自己的靶机被传了10万多个马,就离谱。最后打到第20名,菜是原罪。

从太湖学到的东西:

  • 流量监控很重要!!!

  • 分工也很重要,这次分工太散,以web来说攻击和防御可以分两个人进行。

一开始就让攻击者写批量脚本 打ssh 打webshell 找到漏洞点直接批量打过去,然后负责防御的一开始就改好ssh、删后门,搞备份,看流量监控。

有些脚本下次再放~~~~