0x00 Something
接触awd也只是今年五月份开始,第一次没有任何经验全场被吊打,第二次XMAN结业赛略有准备,凭着自动化脚本稳住了一次,然而上传脚本的缺失和权限维持的问题,在后期十分吃亏,第三次测试平台时,因为上传的洞问题,被别人种上了不死马,有点尴尬。现在多多少少有了一些经验,想起师傅说的线下赛的套路相对固定,稳扎稳打就能稳住,于是总结一下自己遇到的问题。
0x01 Before & Begin
Prepare:
- 简易自动化框架,执行exp,submit flag
- waf
- 日志脚本
- Wireshark(若提供流量)
What to do:
- 补充框架内容(网络拓扑、提交方式等)
- 上WAF,上日志记录
- 备份WEB目录,下载源代码
0x02 During
Prepare:
- 白盒审计工具
- Burp
- 上传、权限维持脚本
- 离线漏洞平台
What to do
- 审计源代码,分析后门、命令执行、上传、SQL等威胁
- 现成CMS注意DIFF
- 弱口令更改
- 根据漏洞PATCH
- 根据漏洞写出EXP,发动攻击
- 被攻击后抄作业完成EXP,PATCH
- 自动化种马,权限维持
- 自动化收割
0x03 Others
- 熟悉规则,进攻收益、防御收益、宕机损失
- 一血优势
- 维度:运维、攻击、防御、分析
- 稳如狗的心态
- 流量混淆,脏流量
- .htaccess
Refer:
0.XMAN2017 讲义
1.论如何在CTF比赛中搅“shi”
2.如何基于菜刀PHP一句话实现单个文件批量上传?
3.CTF主办方指南之对抗搅屎棍 - phith0n