WEB|AWD 基础

来自 6ixg0d 师傅的分享课程

Posted by Elli0t on 2020-04-12

AWD 主要考的是脚本的快速编写能力(批量修改 ssh 密码,ssh get flag)
很多东西提前准备好

python 编程、linux 基本命令(进程操作、权限分配)
paramiko 模块快速操作 ssh 指令(包括很多系统指令)

paramiko是Python的一个库,实现了SSHv2协议(底层使用cryptography)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
import paramiko

# 实例化SSHClient
client = paramiko.SSHClient()

# 自动添加策略,保存服务器的主机名和密钥信息,如果不添加,那么不再本地know_hosts文件中记录的主机将无法连接
client.set_missing_host_key_policy(paramiko.AutoAddPolicy())

# 连接SSH服务端,以用户名和密码进行认证
client.connect(hostname='192.168.1.105', port=22, username='root', password='123456')

# 打开一个Channel并执行命令
stdin, stdout, stderr = client.exec_command('df -h ') # stdout 为正确输出,stderr为错误输出,同时是有1个变量有值

# 打印执行结果
print(stdout.read().decode('utf-8'))

# 关闭SSHClient
client.close()

web 源代码自动审计工具:

  • seay
  • Rips 是使用PHP语言开发的一个审计工具,所以只要有可以运行PHP的环境就可以轻松实现PHP的代码审计
  • cobra

现场漏洞审计辅助:
比赛前下载好乌云镜像,到时候发现漏洞可以去查找利用的方式。

参考链接

https://www.jianshu.com/p/f072ea19acd9
https://www.cnblogs.com/xiao-apple36/p/9144092.html