XMAN AWD review

0x00 Something

接触awd也只是今年五月份开始,第一次没有任何经验全场被吊打,第二次XMAN结业赛略有准备,凭着自动化脚本稳住了一次,然而上传脚本的缺失和权限维持的问题,在后期十分吃亏,第三次测试平台时,因为上传的洞问题,被别人种上了不死马,有点尴尬。现在多多少少有了一些经验,想起师傅说的线下赛的套路相对固定,稳扎稳打就能稳住,于是总结一下自己遇到的问题。

0x01 Before & Begin

Prepare:

  • 简易自动化框架,执行exp,submit flag
  • waf
  • 日志脚本
  • Wireshark(若提供流量)

What to do:

  • 补充框架内容(网络拓扑、提交方式等)
  • 上WAF,上日志记录
  • 备份WEB目录,下载源代码

0x02 During

Prepare:

  • 白盒审计工具
  • Burp
  • 上传、权限维持脚本
  • 离线漏洞平台

What to do

  • 审计源代码,分析后门、命令执行、上传、SQL等威胁
  • 现成CMS注意DIFF
  • 弱口令更改
  • 根据漏洞PATCH
  • 根据漏洞写出EXP,发动攻击
  • 被攻击后抄作业完成EXP,PATCH
  • 自动化种马,权限维持
  • 自动化收割

0x03 Others

  • 熟悉规则,进攻收益、防御收益、宕机损失
  • 一血优势
  • 维度:运维、攻击、防御、分析
  • 稳如狗的心态
  • 流量混淆,脏流量
  • .htaccess

Refer:
0.XMAN2017 讲义
1.论如何在CTF比赛中搅“shi”
2.如何基于菜刀PHP一句话实现单个文件批量上传?
3.CTF主办方指南之对抗搅屎棍 - phith0n

xmsec

Lancet成员,很菜却在努力。