前言
AWD賽制更接近真實攻防場景,同時具有高度的對抗性和觀賞性,對攻防人才的選拔和培養有現實意義,因此往往被用於安全團隊的攻防訓練及國家的重要網絡安全賽事中。
曾廣泛應用在各類國內、國際重要賽事中,如“網鼎杯”網絡安全大賽、第二屆“強網杯”全國網絡安全挑戰賽、DEF CON CHINA百度國際網絡安全技術對抗賽、
第十二屆全國大學生信息安全競賽創新能力實踐賽總決賽、第三屆紅帽杯網絡安全攻防大賽總決賽、第五屆“百越杯”福建省高校網絡空間安全大賽總決賽等。
對於AWD我也是只停留在理解其基本含義,對於這次去AWD比賽,起初還以為是去打CTF的比賽,沒想到去到后完全不涉及到CTF,比賽前夕一直再刷ctf的題,比賽時對於我這種萌新,真的是有苦說不出啊!淚奔!
雖然我也是打着見見世面,為以后該學什么,為之后打比賽積累點經驗的心理去的,但去到后看見一大堆大咖,我感覺我就是星星同日月爭輝,我要更加的努力才行了。加油!加油!加油!
下面是我對AWD的基本介紹和今后該學的知識:
AWD賽事流程
1. 出題方會給每一支隊伍部署同樣環境的主機,主機有一台或者多台。
2. 拿到機器后每個隊伍會有一定的加固時間或沒有加固時間,這個視規則而定。
3. 每個服務、數據庫、主機上都會可能存在 flag 字段,並且會定時刷新。通過攻擊拿到 flag 后需要提交到裁判機進行得分,
一般會提供指定的提交接口。下一輪刷新后,如果還存在該漏洞,可以繼續利用漏洞獲取 flag 進行得分。
攻:負責源碼審計、寫攻擊腳本、維持權限、持續滲透
防:防守加固、做基線、加WAF、流量回放等
網絡環境
該圖借鑒網上。
想要了解相關的知識可以看一下該優秀博主的文章
聊聊AWD攻防賽流程及准備經驗 - FreeBuf網絡安全行業門戶
轉載自FreeBuf.COM
今后該學的知識點
攻擊流程
信息收集
探測主機:熟悉Nmap,HTTPScan,msf等工具
探測端口:熟練使用Nmap進行端口掃描
探測端口服務:熟練使用Nmap的腳本(參數的運用)掃描漏洞
端口攻擊
了解其攻擊的方式,方法,懂得該如何去攻擊,弱口令的使用
Web攻擊
了解Struts2的各種漏洞(可以用工具掃描)
電腦需備好EXP庫,漏洞庫,各種掃描工具庫
D盾查殺的方法,(可發現預留后門或Webshell)
多去看源碼,提高自己的源碼審計能力(源碼審計工具:Seay等)
學會寫攻擊腳本
滲透測試:文件上傳,SQL注入等
維持權限
學會怎樣種不死馬,和解決不死馬
反彈shell
用一般木馬的留后門方式維持權限,以便刷flag,再考慮提升權限
防守流程
備份網站源碼和數據庫。
系統安全性檢查(端口3306是否開啟, 有沒有限制 SSH 登陸、SSH密碼 修改、MySQL 是否為默認密碼等 ,這些可以用腳本來檢查)
部署WAF( 用自己提前准備好的 WAF,使用腳本進行快速部署,但是要注意驗證會不會部署完后服務不可用。 )
修改權限( MySQL 用戶讀表權限,上傳目錄是否可執行的權限等 )
部署文件監控腳本 ( 監控可讀寫權限的目錄是否新增、刪除文件並及時提醒 )
克制不死馬的方法
強行 kill 掉進程后重啟服務
建立一個和不死馬相同名字的文件或者目錄
寫腳本不斷刪除文件
不斷寫入一個和不死馬同名的文件
部署流量監控腳本 或開啟服務器日志記錄 ( 進行流量回放 )
高亮部分就是接下來需要重點學習的部分,加油吧!讓自己下次比賽不至於那么被動!對了還需要去刷CTF題,雖然這次沒有涉及到,但多數比賽也都是CTF為主的,CTF中主要以Web為主。努力吧!!!