记一次AWD比赛

        萌新一枚，热爱CTF，大牛绕行吧！

      由于AWD的经验比较少，即使比赛前做了详细的规划，也不免比赛时手忙脚乱，不在到自己应该干什么（当然这跟主办方没把要求说清楚有关，说是一台靶机，两台攻击机，结果是两台靶机，攻击机是自己本机，，，，，，）

        先贴一张我赛前准备的比赛步骤和一些TIP：

     对于我来说写的挺好了，可是给了两台靶机后，而且用户权限还只是普通用户，一脸绝望.jpg，好多脚本都用不了。

    先说一下两台靶机的情况，一台是运行tomcat服务，一台是ECShop，有大量的web漏洞，

   没办法，先打把，比赛前我记得ubuntu有系统漏洞可以提权，因为没有实战演习过，而且我认为主办方会给root权限，所以没想那么多，事实证明，准备的东西自己试一下还是非常必要的

   其实这回的ssh密码不改也没有关系，因为他的密码很随机，不可能被别人爆破到，但是比赛还是要关心一下ssh这一块（tomcat那一台根本不能修改ssh密码，权限不够，不知道为什么）

   开始tamcat那台机器我们没有找到网站根目录在哪里，他并没有放在我们已知的/var/www目录，所以我们大费周折找了好久，本来想d盾查一下欲留后门，查了ecshop那个并没有，另一个没找到目录就没管，，蓝瘦

   还有就是我做了一件非常蠢的事情，我记得要删除关于install目录和php文件，但是我们有个审计网站的队友看到了include下面有好多不知名看起来很NB的页面，以为这个已经被黑了，急忙让队友把include目录删掉，删掉，掉，，，，，，，，，，，所以网站挂了

    后来申请主办方把靶机重置吧，幸好有免费重置的机会，没有酿成大错，之后上waf，发现这个网站太脆弱了，一上waf就崩，急忙撤了下来，太狠

    我们做了一个很机智的决定：把后台的路径改了名字，admin改成别的名字了

     上午我们主要在研究ecshop那台靶机的漏洞，因为已经有队伍在那里拿分了（别问我怎么知道的，不小心往前看到的）

------------------------------------------------------------------------------
    中午交流的时候，和同校的一队交流了下，发现我们的数据库密码已经被改了，他们改的，不知道比赛没完成就讨论是不是很不道德，当时也没想那么多，之后吃完饭就各自研究了，我们中午并没有得出什么建设性的结论，只是决定自己挖自己的漏洞了，我觉得这样不好，但是我们的小组协作性确实很差，临时凑起来的队伍，也没打过什么线下

------------------------------------------------------------------------------

    下午继续上午的比赛，我开始研究tomcat那台机器了，找到网站根目录之后，我就把源码备份之后拷到本机上面，d盾了一下，两个一毛一样的asp大马，但是密码找不到，我还是花了一段时间在那上面，打着打着发现我们的靶机被攻击了，我们根本不知道如何去守，看流量这个东西，我们抓流量的脚本在waf里面，所以并没有好的方法去防止他们打我们，好在攻击的队伍是打的全场，都在掉分，只能寄希望于挖到新的漏洞

     通过那个找不到密码的asp大马，我们找到了后台登陆系统，（其实审计自己家网站就能知道），用户名密码，是啥？？？后来队友发现了配置文件中存在的用户名密码，弱口令，登陆，有了网站的管理权限，其实这个时候就可以传马打全场了，，但是我们的经验太缺少，看了好久不知道如何利用，有个解析漏洞传个指定后缀名的压缩包，传上去自动解压，这样传asp马就可以拿到flag，我们最后还是发现自家服务器被种了马，利用他们的脚本来拿flag，然后我们发现了那个上传漏洞，自己上马拿flag，还有另一支队伍，一次只能拿两分，不知道是用的什么洞，到后来只是我们三支队伍在拿分了，比赛也接近了尾声

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------

这次比赛，总结了一些东西：

    一定做好万全的准备，做好权限不足的情况，提权漏洞等等
    提高脚本的编写能力，我的文件监控只是在root下好用，只是删除和记录写入的功能（可能有的权限没有把），自己修改也困难，要不利用这个脚本就可以防的死死的
    日志抓流量工作一定要做好，我说了好几百遍队友就是不听，没好好准备在这里，非让我弄CMS的洞，这个也不是三天两天可以弄完的，装个漏洞库啥都解决了
    多增加实战经验，要不然看到一个洞，知道他可以利用，却不会用的感觉难受的要死

最后附一张我为这此比赛准备的东西的图：

当当当当：

本文始发于微信公众号（LemonSec）：记一次AWD比赛