参加AWD攻防赛的感想

简介: 参加AWD攻防赛的感想

前言

AWD赛制更接近真实攻防场景,同时具有高度的对抗性和观赏性,对攻防人才的选拔和培养有现实意义,因此往往被用于安全团队的攻防训练及国家的重要网络安全赛事中。
曾广泛应用在各类国内、国际重要赛事中,如“网鼎杯”网络安全大赛、第二届“强网杯”全国网络安全挑战赛、DEF CON CHINA百度国际网络安全技术对抗赛、
第十二届全国大学生信息安全竞赛创新能力实践赛总决赛、第三届红帽杯网络安全攻防大赛总决赛、第五届“百越杯”福建省高校网络空间安全大赛总决赛等。

对于AWD我也是只停留在理解其基本含义,对于这次去AWD比赛,起初还以为是去打CTF的比赛,没想到去到后完全不涉及到CTF,比赛前夕一直再刷ctf的题,比赛时对于我这种萌新,真的是有苦说不出啊!泪奔!


虽然我也是打着见见世面,为以后该学什么,为之后打比赛积累点经验的心理去的,但去到后看见一大堆大咖,我感觉我就是星星同日月争辉,我要更加的努力才行了。加油!加油!加油!


下面是我对AWD的基本介绍和今后该学的知识:

AWD赛事流程

1. 出题方会给每一支队伍部署同样环境的主机,主机有一台或者多台。
2. 拿到机器后每个队伍会有一定的加固时间或没有加固时间,这个视规则而定。
3. 每个服务、数据库、主机上都会可能存在 flag 字段,并且会定时刷新。通过攻击拿到 flag 后需要提交到裁判机进行得分,
一般会提供指定的提交接口。下一轮刷新后,如果还存在该漏洞,可以继续利用漏洞获取 flag 进行得分。
攻:负责源码审计、写攻击脚本、维持权限、持续渗透
防:防守加固、做基线、加WAF、流量回放等

网络环境

该图借鉴网上。

想要了解相关的知识可以看一下该优秀博主的文章

聊聊AWD攻防赛流程及准备经验 - FreeBuf网络安全行业门户

转载自[FreeBuf.COM](https://www.freebuf.com/)

今后该学的知识点

攻击流程

信息收集

探测主机:==熟悉Nmap==,==HTTPScan==,==msf==等工具

探测端口:熟练使用Nmap进行==端口扫描==

探测端口服务:熟练使用Nmap的脚本==(参数的运用)扫描漏洞==

端口攻击

了解其攻击的方式,方法,懂得该如何去攻击,==弱口令的使用==

Web攻击

了解==Struts2的各种漏洞==(可以用工具扫描)

电脑需备好==EXP库,漏洞库,各种扫描工具库==


==D盾查杀==的方法,(可发现==预留后门==或==Webshell==)


多去看源码,提高自己的==源码审计==能力(源码审计工具:==Seay==等)


学会写==攻击脚本==


渗透测试:==文件上传==,==SQL注入==等

维持权限

学会怎样==种不死马==,和解决不死马

==反弹shell==

用一般木马的==留后门方式==维持权限,以便刷flag,再考虑==提升权限==

防守流程

==备份==网站源码和数据库。

系统安全性==检查==(端口3306是否开启, 有没有限制 SSH 登陆、SSH密码 修改、MySQL 是否为默认密码等 ,这些可以用脚本来检查)

==部署WAF(== 用自己提前准备好的 WAF,使用脚本进行快速部署,但是要注意验证会不会部署完后服务不可用。 )

==修改权限==( MySQL 用户读表权限,上传目录是否可执行的权限等 )

==部署文件监控脚本== ( 监控可读写权限的目录是否新增、删除文件并及时提醒 )

强行 kill 掉进程后重启服务
建立一个和不死马相同名字的文件或者目录
写脚本不断删除文件
不断写入一个和不死马同名的文件

==部署流量监控脚本== 或==开启服务器日志记录== ( 进行流量回放 )

高亮部分就是接下来需要重点学习的部分,加油吧!让自己下次比赛不至于那么被动!对了还需要去刷CTF题,虽然这次没有涉及到,但多数比赛也都是CTF为主的,CTF中主要以Web为主。努力吧!!!

目录
相关文章
|
C++
2019 第十届蓝桥杯大赛软件赛决赛,国赛,C/C++大学B组题解
2019 第十届蓝桥杯大赛软件赛决赛,国赛,C/C++大学B组题解
274 0
|
2月前
|
算法 安全 Shell
2024i春秋第四届长城杯网络安全大赛暨京津冀网络安全技能竞赛初赛wp-flowershop+easyre
2024i春秋第四届长城杯网络安全大赛暨京津冀网络安全技能竞赛初赛wp-flowershop+easyre
185 1
|
6月前
|
存储 网络协议 数据建模
程序与技术分享:2021年第一届“东软杯”网络安全CTF竞赛
程序与技术分享:2021年第一届“东软杯”网络安全CTF竞赛
|
存储 弹性计算 负载均衡
网络安全技术及应用期末考试题库
网络安全技术及应用期末考试题库
716 0
|
7月前
|
Python
湖南大学第十六届程序设计竞赛(重现赛)补题题解(更新中)
湖南大学第十六届程序设计竞赛(重现赛)补题题解(更新中)
40 0
|
7月前
|
存储 安全 计算机视觉
参加第十二届中国软件杯比赛感想以及经验
今年我作为参赛选手参加了中国软件杯南京线下赛,参加了总决赛答辩环节,下面总结一些参加比赛的经验以及感受
|
7月前
【周赛总结】17-双周赛108
【周赛总结】17-双周赛108
57 0
|
7月前
|
机器学习/深度学习
【周赛总结】双周赛109
【周赛总结】双周赛109
58 0
|
监控 安全 中间件
CTF/AWD竞赛标准参考书+实战指南:《AWD特训营》
CTF/AWD竞赛标准参考书+实战指南:《AWD特训营》
|
安全 Java Go
阿里比赛AliCrackme逆向分析
阿里比赛AliCrackme逆向分析
321 0