剛參加完2018年的江蘇省領航杯的線下賽回右,總結(jié)一番隆圆。
這次線下賽的形式跟正常的AWD不同,原先準備的徐師傅的awd自動化框架沒有實戰(zhàn)的機會翔烁,有點可惜渺氧。比賽時給了四根網(wǎng)線,兩根攻擊網(wǎng)線連接靶場蹬屹,兩根防御網(wǎng)線連接加固機侣背,一臺二進制,一臺web機慨默,但是比賽中好像并沒有看見AI對二進制機的攻擊……贩耐,我主要負責加固部分,所以主要總結(jié)一下防御部分业筏,和提醒自己的學習不足之處憔杨。
起手
由于是第一次參加awd形式的線下賽,所以賽前準備了許多起手式蒜胖,參考了一番郁離歌的起手式……
連接上加固機消别,先
passwd修改用戶密碼,然后XFTP將網(wǎng)站目錄下載下來台谢,再復制一份放著(非常重要的一步寻狂,在比賽中改著服務宕機了,差點就gg了朋沮,還好由ctrl+z大法)蛇券,所以備份很重要。D盾掃描網(wǎng)站目錄樊拓,當場掃除后門纠亚,直接進服務器找到刪除。
給網(wǎng)站服務掛上waf(
require_once("capture.php"))筋夏,這一步可以防住大多數(shù)的漏洞攻擊蒂胞,還好比賽的checker不是很嚴,waf一直工作得很好条篷。seay代碼審計自動掃描骗随,給出審計方向。
起手完畢
在起手完畢后赴叹,開始審計代碼鸿染。比賽中給的代碼漏洞都很典型,很容易就能看到sql注入乞巧、反序列化涨椒、文件包含、變量覆蓋的洞,然后一臉懵逼……
發(fā)現(xiàn)了不懂加固也是非常的無奈丢烘,回想了一下柱宦,之前做題,線上賽之類的全是在攻擊播瞳,加固的知識都沒有怎么看掸刊,只能是在sql注入點加上addslashes()來防一下萬能密碼,對于反序列化的防御無可奈何……
不過waf大法是真的好用赢乓,前面不懂加固的洞好像全被waf防御了忧侧,看到了不懂加固的地方我們沒有丟分∨朴螅可惜waf不是萬能的蚓炬,比賽官方的exp還是打出了兩個不太熟的洞,找不到地方躺屁,也不懂加固……分別是ssrf和xxe肯夏,xxe在刷題的時候還有接觸到,但是不是特別地熟悉犀暑,ssrf是完全的懵逼驯击。需要之后做一點功課了。
比賽黑科技
比賽之前就調(diào)侃了很多線下賽黑科技耐亏,像刪除服務文件剩靜態(tài)文件的攪屎操作徊都,在這次比賽也來了那么一手操作。
比賽防御流程是這樣的:防御服務器的根目錄里面有一個flaginfo.txt文件广辰,官方AI用exp去攻擊服務器暇矫,讀到了文件里面的字串后判定失分。
而我在看流量日志和文件變化的時候發(fā)現(xiàn)择吊,不管是ssrf李根,還是xxe的洞爆出來,最后官方AI都是會用漏洞往uploads文件夾里面寫入后門來獲取文件字符几睛。
所以……在最后一波攻擊前房轿,我……chmod 700 uploads/……誰也別想往里面寫東西……成功防住了最后一波,還沒有被check down(暗自竊喜……)枉长。拿了第二……╮( ̄▽  ̄)╭
最后總結(jié)
- 需要加強防御知識的學習,之前學的攻擊姿勢要重新看一下防御姿勢
- 還要學習更多的漏洞琼讽,熟悉陌生的漏洞姿勢
- 關于服務器方面必峰,命令還是不是很熟,之前仗著外網(wǎng)好像沒怎么用心記……到了內(nèi)網(wǎng)一臉懵逼……
- php服務也需要繼續(xù)加強學習……
還有好多東西要學啊……(╯‵□′)╯︵┻━┻
