泉州市网络安全攻防比赛线下赛复盘

AWD小结&反思

Attack

理想化的攻击流程应该为

D盾扫描默认后门 -> 编写PY脚本进行批量种植不死马 -> 不死马维持权限持续Getflag
但是当时只是在用PY脚本利用默认后门去批量Getflag
这就导致了后期后门被修复的情况下,不能与前面的队伍缩小差距
而当时的web权限给得很大,可以删掉 /var/www/html 下的内容
如果当时有使用不死马,那就可以进行删除操作,阻止其他队伍得分
同时利用不死马来Getflag,这样就可以迅速缩小差距

如果是比赛水准稍微高一些的话,应该不会出现这种web权限过大的情况
那么可以尝试使用不死马来帮助别人Patch掉已知后门

Defend

Web源码的备份与数据库的备份和还原自然无需多言
主要是日志审计以及流量捕获
通过这两者来协助自己分析服务器上仍存在的漏洞
或者是在某个目录下存在不死马

其次,分析不死马流量之后也可以尝试重放来借别人的不死马Getflag
一般Hash马的密码都是一样的,可以尝试一波乌鸦坐飞机

但是当时貌似没有权限去监听网卡,很纳闷