CTF线下awd攻防赛中常用一个文件监控脚本来保护文件，但是就博主对于该脚本的审计分析 发现如下的问题： 1.记录文件的路径未修改导致log暴露原文件备份文件夹：drops_JWI96TY7ZKNMQPDRUOSG0FLH41A3C5EXVB82 ...

round1 弱口令 cat /etc/passwd 查看用户信息 修改用户密码（passwd username） 通过ssh弱口令批量getshell （通过msf的auxilia ...

前言 对于AWD我也是只停留在理解其基本含义，对于这次去AWD比赛，起初还以为是去打CTF的比赛，没想到去到后完全不涉及到CTF,比赛前夕一直再刷ctf的题，比赛时对于我这种萌新，真的是有苦说不出啊！泪奔！ 虽然我也是打着见见世面，为以后该学什么，为之后打比赛积累点经验的心理去的，但去到后 ...

最近工作很忙 今天抽空准备下AWD比赛得攻防工具和脚本 以下只是常用 希望下周不被吊锤~~ 后续整理后想抽空写成一个攻击框架汇总放github~~ 这里从各种情景和需求中去总结工具和脚本的使用 情景一 默认SSH密码批量反弹shell 官方在给出服务器密码时 ...

###0x01 AWD模式 Attack With Defence，简而言之就是你既是一个hacker，又是一个manager。比赛形式：一般就是一个ssh对应一个web服务，然后flag五分钟一轮，各队一般都有自己的初始分数，flag被拿会被拿走flag的队伍均分，主办方会对 ...

情景五：批量修改ssh密码 拿到官方靶机第一件事改自己机器的ssh密码，当然也可以改别人的密码~ 情景六:批量种马 审计源码第一件事可能就找到官方的预留后门，开 ...

SSH登陆 两三个人进行分工，一个粗略的看下web，有登陆口的话，就需要修改密码，将情况反馈给队友，让登陆ssh的小伙伴进行密码的修改，改成炒鸡复杂、然后将Web目录下载下来，上WAF、文件监控 ...

SSH登陆 两三个人进行分工，一个粗略的看下web，有登陆口的话，就需要修改密码，将情况反馈给队友，让登陆ssh的小伙伴进行密码的修改，改成炒鸡复杂、然后将Web目录下载下来，上 ...