我男神@美男 全程带飞~,主要写一写感想和awd基本流程总结
1. 上来一般会有30min防御,先备份整站以及各种题。
Linux命令:[root@linux ~]# tar [-cxtzjvfpPN]文件与目录....
将整个/etc目录下的文件全部打包成为/tmp/etc.tar:
[root@linux ~]# tar -zcvf /tmp/etc.tar.gz /etc <==打包后,以gzip压缩
详情:http://blog.csdn.net/mpu/article/details/1637373
Mysql备份整站:
mysqldump -uroot -ppassword database > database.sql
也可winscp连接,整站下载。
2. linux改密码:passwd(username)(user只能修改本用户)
mysql改密码:
mysqladmin -u用户名-p旧密码password新密码;
set password for root@localhost=password("123456");
win改密码:net user username newpass
注意:linux,mysql,后台等,都有可能有多个用户!!!注意爆破一下其他用户
Linux:
cat /etc/passwd可以查看所有用户的列表
cat /etc/group查看用户组
mysql:/config.inc.php
3. 批量布上waf,monitor,批量部署脚本:见./waf/1.py
有权限可执行linux命令部署:
find /var/www/html -type f -path "*.php" | xargs sed -i "s/ nrequire_once('\/tmp\/waf.php');\n/g"
或修改php配置文件:在php.ini中找到:
Automatically add files before or after any PHPdocument.
auto_prepend_file = waf.php路径;(未测试,或可用于留后门)
注:一般无权限查看系统日志(如有权限,可:journalctl -e或cat /etc/httpd/httpd.confaccess_log:记录了所有对Web服务器的访问活动error_log:错误日志ssl_request_log:ssl访问日志)
4. chattr +i /etc/profile(使目录不可写删),chmod 555
命令:find -type d /var/www/html | xargs chmod 555
(吐槽) 这次就遇到一个队把目录设成了555,应该是哈工大的大佬们,结果改之前拿下的shell也没法传不死马,最后被杀了。但权限一般不会这么大,否则一个iptables直接封了,比赛没法打。
5. 获取flag:自带getflag命令或执行
curl http://提交ip/flag(分析男神的两个poc脚本,如flag返回方式等)
6. 马仅仅不死还不够,考虑:写成内存马,驻进程不易被杀,并socket连接本机(复习socket编程):telnet xxx:0000,本地nc监听即可。
注意:藏好马,留好后门很重要!!注意收集猥琐藏马姿势!尽量写批量穿马脚本,第一时间上内存马!(文末大神文章中有他改进的不死马,基于内容和文件存在判断)
7. 时常netstat –ano看一下,自己服务器有没有被别人通过弱口令或爆破连接,可防止有双用户然而自己未发现导致被打。(本次被哈工大大佬们改服务器第二用户密码,吊打全场... )
8. Python Flask框架为单线程,一建立连接,check时就会down掉(so,。。。然而解决方法未知,待探究),男神审计一眼发现存在ssrf...然而超出目前我的能力范围,待学习,修补只需去掉相关函数或给相关变量初始化为安全值,不接受post或get过来的参数。
查看Flask实时日志文件命令:(待补充)
附上王一航大佬总结,干货满满!