思維導圖
AWD 常見比賽規則說明:
- Attack With Defence,簡而言之就是你既是一個 hacker,又是一個 manager。
- 比賽形式:一般就是一個 ssh 對應一個 web 服務,然后 flag 五分鍾一輪,各隊一般都有自己的初始分數,flag 被拿會被拿走 flag 的隊伍均分,主辦方會對每個隊伍的服務進行 check,check 不過就扣分,扣除的分值由服務 check 正常的隊伍均分。其中一半比賽以 WEB 居多,可能會涉及內網安全。攻擊和防御大部分為前期培訓內容。
前期准備:
- 1.隊伍分工明確
- 2.腳本工具環境完整
- 3.漏洞 POC/EXP 庫完整
- 4.安全防御 WAF 及批量腳本完整
必備操作:
- 1 備份網站文件
- 2 修改數據庫默認密碼
- 3 修改網頁登陸端一切弱密碼
- 4 查看是否留有后門賬戶
- 5 關閉不必要端口,如遠程登陸端口
- 6 使用命令匹配一句話特性
- 7 關注是否運行了“特殊”進程
- 8 權限高可以設置防火牆或者禁止他人修改本目錄
本課重點:
- 案例1:防守-部署 WAF-實現第一時間攔截部分攻擊-升級后續版
- 案例2:防守-掃描后門-實現第一時間利用預留后門攻擊-升級腳本版
- 案例3:防守-代碼審計-實現第一時間找出源碼中安全漏洞-升級漏洞庫版
- 案例4:防守-文件監控-實現第一時間監控當前目錄文件操作-升級流量監控
- 案例5:攻擊-批量Flag-實現第一時間利用腳本批量 Flag 得分-升級模版不死馬
案例1:防守-部署 WAF-實現第一時間攔截部分攻擊-升級后續版
最快第一時間操作,此類技術核心准備為各個環境的 WAF 部署(源碼語言,比賽規則)
涉及資源:
- https://github.com/zhl2008/awd-platform
- https://github.com/yemoli/prepare-for-awd
- https://github.com/leohearts/awd-watchbird
- https://github.com/DasSecurity-HatLab/AoiAWD
- AoiAWD-針對CTF AWD的原創輕量級防御系統 https://mp.weixin.qq.com/s/kwzJnoi2FwFhwbdxetd45A
- AWD平台搭建 https://www.cnblogs.com/Triangle-security/p/11332223.html
- AWD紅藍對抗資料工具 https://pan.baidu.com/s/1qR0Mb2ZdToQ7A1khqbiHuQ提取碼:xiao
- 線下AWD平台搭建以及一些相關問題解決 https://www.cnblogs.com/pureqh/p/10869327.html
案例2:防守-掃描后門-實現第一時間利用預留后門攻擊-升級腳本版
最快第一時間操作,此類技術核心在於掃描源碼中預留或隱藏后門(源碼語言)
10款常見的Webshell檢測工具
當網站服務器被入侵時,我們需要一款Webshell檢測工具,來幫助我們發現webshell,進一步排查系統可能存在的安全漏洞。
本文推薦了10款Webshll檢測工具,用於網站入侵排查。當然,目前市場上的很多主機安全產品也都提供這種WebShell檢測能力,比如阿里雲、青藤雲、safedog等,本文暫不討論。
1、D盾_Web查殺
阿D出品,使用自行研發不分擴展名的代碼分析引擎,能分析更為隱藏的WebShell后門行為。
兼容性:只提供Windows版本。
工具下載地址:http://www.d99net.net/down/WebShellKill_V2.0.9.zip
2、百度WEBDIR+
下一代WebShell檢測引擎,采用先進的動態監測技術,結合多種引擎零規則查殺。
兼容性:提供在線查殺木馬,免費開放API支持批量檢測。
在線查殺地址:https://scanner.baidu.com/
3、河馬
專注webshell查殺研究,擁有海量webshell樣本和自主查殺技術,采用傳統特征+雲端大數據雙引擎的查殺技術。查殺速度快、精度高、誤報低。
兼容性:支持Windows、linux,支持在線查殺。
官方網站:https://www.shellpub.com/
4、Web Shell Detector
Webshell Detector具有“ Webshell”簽名數據庫,可幫助識別高達99%的“ Webshell”。
兼容性:提供php/python腳本,可跨平台,在線檢測。
官方網站:http://www.shelldetector.com/
github項目地址:https://github.com/emposha/PHP-Shell-Detector
5、CloudWalker(牧雲)
一個可執行的命令行版本 Webshell 檢測工具。目前,項目已停止更新。
兼容性,提供linux版本,Windows 暫不支持。
在線查殺demo:https://webshellchop.chaitin.cn/
github項目地址:https://github.com/chaitin/cloudwalker
6、Sangfor WebShellKill
Sangfor WebShellKill(網站后門檢測工具)是一款web后門專殺工具,不僅支持webshell的掃描,同時還支持暗鏈的掃描。是一款融合了多重檢測引擎的查殺工具。能更精准地檢測出WEB網站已知和未知的后門文件。
兼容性:支持Windows、linux
工具下載地址:http://edr.sangfor.com.cn/backdoor_detection.html(已停止訪問)
7、深度學習模型檢測PHP Webshell
一個深度學習PHP webshell查殺引擎demo,提供在線樣本檢測。
在線查殺地址:http://webshell.cdxy.me/
8、PHP Malware Finder
PHP-malware-finder 是一款優秀的檢測webshell和惡意軟件混淆代碼的工具
兼容性:提供linux版本,Windows 暫不支持。
github項目地址:https://github.com/jvoisin/php-malware-finder
9、findWebshell
這個項目是一款基於python開發的webshell檢查工具,可以根據特征碼匹配檢查任意類型的webshell后門。
github項目地址:https://github.com/he1m4n6a/findWebshell
10、在線webshell查殺工具
在線查殺地址:http://tools.bugscaner.com/killwebshell/
參考:https://www.cnblogs.com/xiaozi/p/12679777.html
案例3:防守-代碼審計-實現第一時間找出源碼中安全漏洞-升級漏洞庫版
最快第一時間操作,簡要分析可能存在的安全問題,配合流量監控及代碼審計后續操作(框架及非框架,源碼語言,漏洞庫等)進行漏洞判定
推薦2款工具,盡快審計源碼:Seay源代碼審計系統、Fortify。
案例4:防守-文件監控-實現第一時間監控當前目錄文件操作-升級流量監控
最快第一時間操作,在防守攻擊時,實時監控當前目錄文件上傳刪除等操作,有效防止惡意刪除、上傳后門等,后續可配合流量操作行為監控找出更多漏洞
案例5:攻擊-批量Flag-實現第一時間利用腳本批量 Flag 得分-升級模版不死馬
攻擊第一時間操作,寫好批量獲取 Flag 腳本后,預定 Flag 更新時間,實現自動獲取及提交,升級后門寫入及不死馬等操作,實現權限維持實時獲取得分
假設分析腳本,發現一個后門,針對這個后門,可以批量寫腳本。
批量獲取並提交flag腳本:
