这次线下可以说是我第一次正式的参加awd比赛,之前也并不是没有参加过,不过那一次比赛方的环境出了一些莫名的问题,我们的gamebox会莫名宕机,基本没有什么体验可言…相比之下这次上海之行,可以说是非常愉快的体验,也从hz前辈那边学到不少,这里表示非常的感谢.
这篇文章主要对awd线下赛中web方向的流程做一个梳理,个人的一点浅显的经验,各位师傅请多多包涵.
赛前准备
配路由表
https://blog.csdn.net/SJU_x1u_q1n9/article/details/81637000
route delete 0.0.0.0
route add 比赛网址ip mask 255.255.255.0 内网
route add 0.0.0.0 mask 0.0.0.0 外网
比赛开始
ssh连接
连上之后首先备份一下网页的源码(可以准备自动化的脚本),windows下可以使用xshell,连上之后可以使用xftp进行文件的传输.
D盾查webshell
有shell马上删了,接着要尽快的骑上去(准备骑马脚本)
修改ssh密码
如果是弱密码的话要改
passwd
数据库备份
看情况进行数据库的备份,其中database_name以及账号密码要自己在源码里面找
mysqldump -u root -p database_name > bakup.sql;
流量监控
上waf
find ./ -type f -name '*.php' |xargs sed -i '1i<?php include_once "/tmp/waf.php";?>'
撤销
find ./ -type f -name '*.php' |xargs sed -i '1d'
通过查看流量监控产生的日志可以看到其他队伍发送的请求,找到得分的请求并且迅速模仿.
文件监控
上文件监控
找洞写脚本
可以用postman生成python代码