工具准备
即将参加网鼎杯线下赛, 环境完全未知, 想到哪里写到哪里吧.
- [] 能读U盘能插网线能ssh的电脑一台 😂
- [] 不确定实际环境中是否有Nginx, 甚至不确定是否有编译环境, 最好能有Nginx源代码和binary各一份.
- [] 很多PHP的漏洞都是基于特定的, 低版本的PHP, 这个可以考虑带一份最新版本的PHP安装包
- [] 弱口令爆破工具一份(御剑走起)
- [] autopwn一份
- [] 一键WAF一份, 例如ModSecurity, 如果能定制最好, 感觉AWD的waf可以尽量严格, 比如query只允许纯字母数字,且不允许显含flag之类的, 哪里被check了再放开
- [] 自动漏洞审计工具一份
- [] 后门查杀工具一份
- [] nmmap
- [] sqlmap
- [] XSStrike
- [] wireshark, tcprelay以及配套的流量监控, 重放脚本
- [] 已有的攻防脚本: Prepare-for-AWD
- []
准备好知乎答案, "泻药, 人在深圳, 刚下飞机, 网鼎杯..."
再就是CTF本身就需要的工具了, 但是似乎只有web和pwn比较重要...最好让他们担任攻击手, 能尽快的写出payload
理想的流程
- 确保己方shell/文件, 拿到SSH的时候立刻更换端口, 修改密码, 禁止密码登陆, 据说还有给自己种几个netcat的玩法, 防止SSH被点爆.
- 审计服务器的全部开放端口, 看看都启动了什么服务, 以及, 是否有数据库裸奔等现象.
- 如果环境合适, 直接上WAF, 免得在这一步就被打爆
- 审查代码, 修掉一眼能看出来的后门/漏洞
- 查看网络拓扑
- 可以考虑使用iptables来防御? 但是iptables的命令真的不熟...
- sqlmap, XSStrike默认模式打起来
- 上wireshark查看入站流量, 学习对方的payload, 看懂的看不懂的都可以手动提取payload活学活用, 又或者tcprelay无脑重放.
- 保持对自己目录里的后门/不死马的击杀, 维持权限
- 防备SYN FLOOD/反弹DDOS攻击
- pwn选手可以上了(
参考文章:
- 聊聊AWD攻防赛流程及准备经验
- AWD型CTF比赛小技巧总结
- https://github.com/topics/awd-tools
- https://github.com/hitworld/awd-tools
- https://github.com/Balis0ng/AWD-Tools
- https://github.com/haoziwansui/tools
- https://github.com/merlinxcy/awd
- https://github.com/sarleon/AWD-helper