第一次awd练习感受
昨天小组里准备了一次awd练习赛,抱着见世面的心态去参加的
(指被打的一分不剩),收获颇丰,记录一下。
刚一开始咱密码就被芋头改了个遍。直接就没了。卢老爷被迫营业,又重开了一把。上线准备改密码,然后发现自己权限并不够…初始用户权限低的一匹,就基本上只有读和写原文件的权限,想删掉目录里原有的马也不行。(写到底下突然反应过来好像可以把马的内容给删了啊!)(没利用马去拿shell…打不过就只有想办法学点东西)。师傅说弹个shell权限都比这个用户的高,需要自己去弹自己的shell,然后进去看了一晚上linux弹shell的原理…(应该会再写篇文章。)另外,网站上好像还有个命令执行的地方,权限是www-data,我觉得芋头也是靠这个删的所有人的index.php内容,不过我不熟悉linux命令…(就是菜别找借口),贾师傅推荐了一本鸟哥的linux私房菜(记笔记 记笔记),有空得去学习学习
主要的还是对awd的流程有了一定的了解8
-
首先一定是改密码!!改密码!!改密码!!改完看看别人改没改,偷个鸡去把别人的改了(别人再去找主办方重置密码要扣分好像)
-
然后是备份网站,免得被别人改了个面目全非过后连改回来的办法都没有。(芋头就把所有端口上的index.php内容删了个遍)
-
防御方面,部署waf(不知道咋部署),时不时看看目录有没有被放马,赶紧删。出题人好像出题的时候就会整些漏洞进去,及时修。
-
攻击方面,信息收集,找到别人的端口或者ip漏扫跑跑网页看有没有可利用漏洞。自己这儿找到的漏洞说明别人那儿肯定也有,修的同时也看看怎么利用(比如这次目录里那个a.php,别人没删掉之前赶紧利用!我就是没删掉然后沦为提款机…)
收获大概就这些…不是很多,希望下次能不被打的那么惨…