2018“湖湘杯”线下AWD记录

Day 1 AWD 上午场

每个队伍维护两台机器，一台web，一台PWN，刚刚开始把账号密码改了就丢在一边了。先用自己写的SSH爆破脚本跑了一遍ssh默认密码，搞到了几个没有改默认密码的，刷了一波分，移交给队友深入渗透。

用D盾扫一波看看有没有预留的后门

发现一个 .shell.php菜刀马，密码c ，但是是root权限创建，并且有定时任务一直写入，无法删除，可以选择写一个 while循环删除他。然后根据.shell.php去批量拿flag。

脚本丢给队友去执行，继续审计代码，通过搜索eval关键字，成功又找到一枚后门

然后编写代码，继续批量拿flag，很多选手可能到后面才知道，ip段是 172.16.0.0/24 和 172.16.1.0/24

根据这个后门在最后一个小时里面，狂刷分到结束从第十一刷到第二。后面爆破了一下mysql，发现很多队伍都没有修改mysql的密码。

Day 1 netkoth(擂主赛) 下午场

还是头一次参加这种比赛，赛制为 在Web目录下的HIll/SCORE_POINTS的文件中写入你队伍的token，服务器每半个小时重置一次，每5分钟check一次，check时写入的成功队伍则得分。

刚刚开始一个个去测试漏洞，但是前面两个小时我们队伍题目都很难打开，只能扫选手的80端口玩玩，见到了搭建了乌云知识库的、搭建ctf笔记的、各种DVWA的。。。

此处省略一个小时.....

后面发现web站都存在目录遍历，upload目录有别人的上传痕迹，刷新等webshell，然后爆破别人的webshell,成功拿下了web1.humensec.com，果断先扒下源码，简单审计一下：

知道别人是通过任意文件上传拿下的webshell，直接在源码里面搜索upload

代码：

只需要上传一个合成后的图片马，copy 1.jpg/b + 1.php new.jpg , 即可shell

然后后面就是一直在刷新修改SCORE_POINTS文件。

?ccc=system(‘echo “队伍名“>/var/www/Hill/SCORE_POINTS’);

tips: 用IE6刷新速度贼快