前言

很少打AWD的菜鸡,这次因为大佬们要去hitcon final 而让我去了线下。体验了D3CTF的高水平线下比赛,让我感触良多,所以写下这篇文章

关于自己的准备

日志记录工具

  1. weblogger:

    1. 安装有些麻烦,感觉如果有预置后门的情况下,自己缓慢的装配会让自己提前就被种下木马,而且ubuntu下php-fpm的沙箱影响,导致文件在tmp目录下的写入有了一些麻烦
    2. 但是使用非常方便,不会出现要审计重复的流量,且会分IP帮忙处理好,甚至有一键生成poc的方式,审计使用非常方便
  2. 浩子哥哥的php审计文件:

    1. 使用非常方便,只需要在头部文件中加入即可
    2. 但是会出现大量的流量,且要分析重复流量,让人头大

扫描工具

  1. cobra : 不知道为啥自己的坏了,所以就导致没用上,不过支持多种语言还是强烈推荐的
  2. D盾: 实在是太好用了,基本的预置后门,别人植入的木马都可以发现
  3. seay: 这个审计工具真的相当的难用,可以那么说,只是很单纯的有一些规则,以及找出了所有了可能的危险函数,真的大海捞针,个人非常不推荐

攻击框架

  1. 源自moxiaoxi 师傅的awd框架
  2. Hpdoger师傅的援助

实际上东西很多攻击框架这个,emmm,因为用的上容易大脑短路,也就用不上,最后搞着搞着还是自己原地开始手写脚本,害!真的菜

比赛遇到的问题

  1. 人手不够,感觉awd的pwn依然和解题的区别不大,需要比较大的周期,所以前期准备工作没有那么多,但是由于Web是AWD前期对抗的主要看点,以及内置后门的存在,也就导致了开始需要做好各种防护,但是由于我太菜,经验少,以及只有我一个web手的原因,我就只能个慢慢处理各个事务,当每个都布放(流量监控,文件写入监控,预留后门的解决),这两个部署结束后,别人已经开始了第一轮的攻击,这时候我只能慢慢的开始流量审计,不断的修补,不过还好自己看流量比较快,一般一波就能完全补好

  2. 代码审计速度,在一波洞被全场打完修完后,开始沉寂时间,准备新的漏洞,这时候就是比代码审计的速度,但是我由于经验太少,审计也不够强,审计到一半,新的洞又开始漫天飞了,只能继续被动防御。(继续我的代码审计之路,咳咳)

  3. 后渗透出题,虽然提前已经看到各个师傅说的,处理简单的不死马以及各种杀死后台,和属于自己的后门等等的操作,但是别的师傅也都知道,也就导致了我没办法长久的进行后门的维持,但是自己却被植入了无法删除的后门(师傅们tql),赛后问了LinE牛,LinE牛告诉了一些关于木马的构造思路,但是没有给出关键的维持存活的方式,看来只能有空自己研究了。

  4. 日志审计的工具的审计,由于这次就是用头文件引入的方式,来进行日志文件的引入,但是也由此导致了,流量的过于粗糙,最后只能很无奈,手动看,也就是浪费大量的垃圾时间

  5. checker的审计,在对于流量的细致分析时,应当注意到checker的流量,需要针对checker来进行攻击方式的处理,从而导致宕机,本次中我一直发现我被删除文章,但是没发现删文章会导致生命漏洞,最后才知道这个文章时checker来检测搜索功能的,虽然你的搜索功能没有损坏,但是也正是因为这个,后期web2一直被check down,很难受

  6. 比赛的后期还是属于pwn的,web的光辉只能在前期,pwn爷爷还是太关键了咳咳

总结

这次认识了很多师傅,很开心,不过在AWD中,更让人感觉到了压迫感,和解题是完全不同的感觉,希望下次可以和队友在AWD打出好的成绩,(各种东西都会准备的更完善的!),至少不会再那么蒙圈了

不说了,准备期末考了 逃……