AWD比赛总结
AWD总结
做好明确的分工,每个人各司其职
修改后台口令、ssh连接口令、3389口令、数据库口令、后台口令
拿到服务器先备份数据库、备份源码、开启日志记录
对B段进行扫描对尝试其他的已经发现的主机
使用D盾对源码进行扫描,代码审计,完善自身代码,同时利用扫描结果和代码审计结果对其他队伍的服务器进行攻击
开启waf,对拿到shell的主机进行权限维持(包括但不限于不死马等等)
利用日志查看己方被成功攻击记录,对代码进行修复
得分思路:
1、提交flag
2、使用合理的方式让其他的主机宕机(死循环之类的耗尽主机资源)
3、使用合理手段使其他主机不能过检测(这种方法仅仅适合比自己得分高的人)
常用工具:
nmap、sqlmap、burp、一句话(最好可以过检测)、菜刀、D盾、wireshark、xshell、xftp
今天参加了一下人生第一次AWD所总结的东西,CTF被人家教育了,AWD找回了场子,感觉AWD比ctf更有意思更接近实战
小弟第一次awd,大佬高抬贵脚
做好明确的分工,每个人各司其职
修改后台口令、ssh连接口令、3389口令、数据库口令、后台口令
拿到服务器先备份数据库、备份源码、开启日志记录
对B段进行扫描对尝试其他的已经发现的主机
使用D盾对源码进行扫描,代码审计,完善自身代码,同时利用扫描结果和代码审计结果对其他队伍的服务器进行攻击
开启waf,对拿到shell的主机进行权限维持(包括但不限于不死马等等)
利用日志查看己方被成功攻击记录,对代码进行修复
得分思路:
1、提交flag
2、使用合理的方式让其他的主机宕机(死循环之类的耗尽主机资源)
3、使用合理手段使其他主机不能过检测(这种方法仅仅适合比自己得分高的人)
常用工具:
nmap、sqlmap、burp、一句话(最好可以过检测)、菜刀、D盾、wireshark、xshell、xftp
今天参加了一下人生第一次AWD所总结的东西,CTF被人家教育了,AWD找回了场子,感觉AWD比ctf更有意思更接近实战
小弟第一次awd,大佬高抬贵脚
关于作者
评论21次
你觉得awd比ctf更有意思仅仅是因为你在ctf没干过人家,如果awd也被虐了,那就会觉得打比赛毫无意义了
蹭车爽是爽,代码审计还是王道
感觉WEB比较好防守,怎么破
大型比赛都会有check,过度防御会扣分,容易自乱阵脚
awd对主办方要求比较高哦。碰到过没有check的比赛,上去直接把自己服务器干了,分都没扣。
靶机上跑了个流量抓取的应用,跟着流量打...
什么流量抓取的应用?
他们说的思路应该是类似于蜜罐,在靶机上架设一个抓取流量的应用,看看别人家是怎么攻击的你的,分析出已经存在的漏洞,在用这个漏洞攻击别人
靶机上跑了个流量抓取的应用,跟着流量打...
什么流量抓取的应用?
抓别人的流量。然后跟着打。+1
兄弟讲讲怎么抓吧,用什么工具
听说awd都是刷脚本,大佬有什么防御脚本之类的 能共享下吗
waf的话,t00ls上似乎不能出现外站的连接,你去github上搜weblogger吧
听说awd都是刷脚本,大佬有什么防御脚本之类的 能共享下吗
兄dei ,awd 防御可以写的更详细些。随着比赛的环境变化,waf等脚本的使用也需要随着变化
我这次是一次参加AWD,准备的有点匆忙,队友也都是第一次参加AWD,可能总结的不是很全面
兄dei ,awd 防御可以写的更详细些。随着比赛的环境变化,waf等脚本的使用也需要随着变化
你觉得awd比ctf更有意思仅仅是因为你在ctf没干过人家,如果awd也被虐了,那就会觉得打比赛毫无意义了
不不不,比赛的前一天就感觉awd比ctf好玩
还有靶场题也挺好玩,比awd还好玩儿
你觉得awd比ctf更有意思仅仅是因为你在ctf没干过人家,如果awd也被虐了,那就会觉得打比赛毫无意义了
不不不,比赛的前一天就感觉awd比ctf好玩
批量脚本也很重要
对对对,还有批量提交脚本
参加过,感觉要准备的东西太多了,压力很大,很怕被攻破
你觉得awd比ctf更有意思仅仅是因为你在ctf没干过人家,如果awd也被虐了,那就会觉得打比赛毫无意义了
批量脚本也很重要
抓别人的流量。然后跟着打。+1
靶机上跑了个流量抓取的应用,跟着流量打...
你们比赛是B段ip啊,没怎么见过,一般不都是C段吗
我们今天的比赛都是一个队伍一个b段