CTF-AWD攻防实战：从零构建攻防一体的竞赛策略

1. CTF-AWD竞赛模式入门指南

第一次参加CTF-AWD比赛的新手选手，往往会被这种攻防兼备的赛制搞得手忙脚乱。AWD全称Attack With Defense，是一种集攻击与防御于一体的CTF竞赛模式。与传统的CTF解题模式不同，AWD更注重实战对抗，选手需要在保护自己靶机的同时，攻击其他队伍的靶机获取分数。

比赛开始时，每个队伍都会获得一个或多个靶机，通常包含Web服务、SSH访问权限等。关键的30分钟防御阶段是整个比赛的重中之重，这段时间内你需要完成以下工作：

• 建立SSH连接
• 下载网站源码
• 部署监控工具
• 审计并修复漏洞
• 加固系统防御

我参加的第一场AWD比赛就犯了个低级错误 - 只顾着找别人的漏洞，结果自己的靶机被种了十几个后门，分数被扣得惨不忍睹。从那以后我明白了一个道理：在AWD比赛中，防御和攻击同等重要，甚至防御更为关键。

2. 防御阶段实战操作手册

2.1 初始连接与文件传输

拿到靶机信息后的第一步就是建立SSH连接。我习惯使用Xshell+Xftp组合，操作起来非常顺手。具体步骤如下：

1. 打开Xshell新建会话
2. 输入靶机IP、SSH端口（通常是22）
3. 填写提供的用户名和密码
4. 点击连接进入终端界面

连接成功后，立即点击Xftp按钮启动文件传输。我们需要把网站源码下载到本地进行审计。一般网站根目录在/var/www/html，右键选择"传输"将整个目录下载到本地。

这里有个小技巧：传输完成后，立即在服务器上备份原始文件。执行以下命令：

bash复制cp -r /var/www/html /var/www/html_backup

这样即使后续修改出错，也能快速回滚到初始状态。

2.2 WAF部署与配置

部署WAF（Web应用防火墙）是防御的关键一环。我推荐使用开源的watchbird，它有以下优势：

• 轻量级，对服务器性能影响小
• 提供实时流量监控
• 可自定义防护规则
• 具备攻击日志记录功能

部署步骤：

1. 通过Xftp将watchbird上传到网站根目录
2. 在SSH中执行安装命令：

bash复制php watchbird.php --install /var/www/html

3. 访问任意PHP页面后添加?watchbird=ui进入管理界面
4. 设置管理员密码并配置防护规则

实测下来，watchbird能有效拦截大部分常见Web攻击，如SQL注入、XSS等。更重要的是，通过分析攻击日志，你可以学习其他队伍的攻击手法，反过来用于自己的攻击策略。

3. 漏洞审计与修复实战

3.1 后门查杀与清除

下载到本地的网站源码需要进行彻底的安全检查。我常用的工具组合是：

• D盾：快速扫描常见后门和危险函数
• Seay源代码审计系统：深度分析代码逻辑漏洞

使用D盾扫描时，重点关注以下类型的文件：

• 名称可疑的php文件（如cmd.php、shell.php）
• 图片马（检查图片文件是否包含可执行代码）
• 隐藏文件（以点开头的文件）

发现后门后，修复方式通常有三种：

1. 直接删除恶意代码段
2. 用无害代码替换（如echo "Removed"）
3. 修改文件权限为不可执行

记得每次修改后都要在本地测试功能是否正常，避免修复漏洞导致服务不可用。

3.2 代码审计技巧

对于复杂的代码审计，Seay是个不错的选择。重点关注以下漏洞类型：

• 文件包含漏洞（include/require不安全使用）
• 反序列化漏洞
• 数据库操作未过滤输入
• 文件上传未校验类型

我常用的审计流程：

1. 全局搜索危险函数（eval、system、exec等）
2. 追踪用户输入的数据流
3. 检查权限验证逻辑
4. 测试文件上传功能

曾经在一次比赛中，我发现了一个隐藏极深的二次注入漏洞，通过精心构造的payload，成功拿到了几乎所有队伍的flag。这种深度审计往往能发现自动化工具找不到的漏洞。

4. 攻击策略与自动化脚本

4.1 常见攻击手法

在AWD比赛中，高效的攻击策略往往能让你事半功倍。根据我的经验，最有效的攻击方式包括：

1. 利用已知后门：其他队伍可能没来得及修复你发现的漏洞
2. 0day漏洞利用：比赛专用的CMS通常存在未公开漏洞
3. 服务漏洞：SSH弱密码、未授权访问等
4. 权限提升：通过Webshell获取更高权限

攻击时要注意隐蔽性，避免触发对方的WAF或被监控发现。我常用的技巧是：

• 修改User-Agent为合法浏览器
• 限制请求频率
• 使用编码/加密绕过检测

4.2 自动化脚本开发

手动攻击效率太低，好的自动化脚本能让你在比赛中占据优势。Python是最常用的语言，结合requests库可以快速开发攻击脚本。

一个基础的flag提交脚本框架：

python复制import requests

targets = ['http://team1.com', 'http://team2.com'] # 目标列表
payload = '?cmd=cat /flag' # 攻击payload

for target in targets:
    try:
        r = requests.get(target + payload, timeout=3)
        flag = r.text.strip()
        submit_flag(flag) # 提交flag的函数
    except:
        continue

进阶版的脚本应该包含：

• 多线程/异步处理
• 自动重试机制
• 结果日志记录
• 智能payload生成

我在GitHub上开源了一个AWD工具箱，包含常用的攻击和防御脚本，可以帮助新手快速上手。记住，好的工具能让你在比赛中节省大量时间。

5. 高级防御技巧

5.1 权限维持与监控

单纯的漏洞修复还不够，你需要建立持续的监控机制。我推荐以下方案：

1. 文件完整性监控：使用inotify-tools监控关键文件变化

bash复制inotifywait -m -r /var/www/html -e modify,create,delete

2. 进程监控：定期检查异常进程
3. 网络连接监控：使用netstat或ss命令

发现入侵后，不要急于修复，先分析攻击路径，说不定能反制对方。有次比赛我就是通过分析入侵痕迹，找到了攻击者的控制服务器，反过来控制了他们的得分系统。

5.2 系统加固措施

除了应用层防护，系统层的加固也很重要：

1. 修改SSH默认端口
2. 禁用root远程登录
3. 设置防火墙规则
4. 更新软件补丁

一个实用的iptables规则示例：

bash复制iptables -A INPUT -p tcp --dport 22 -s 10.0.0.0/24 -j ACCEPT # 只允许内网SSH
iptables -A INPUT -p tcp --dport 80 -j ACCEPT # 允许Web访问
iptables -A INPUT -j DROP # 默认拒绝所有

这些措施看似简单，但在紧张的比赛中能有效阻挡大部分自动化攻击脚本。记得在修改配置前先测试，避免把自己锁在外面。

6. 比赛中的实用技巧

参加过十几场AWD比赛后，我总结了一些实用小技巧：

1. 比赛开始前准备好所有工具和脚本，分门别类放好
2. 建立checklist，确保不遗漏任何防御步骤
3. 分工合作：防御和攻击最好由不同队员负责
4. 保持冷静：遇到问题先别慌，有条理地排查
5. 学习对手：被攻击后分析payload，转化为自己的武器

最后提醒一点：AWD比赛不仅是技术的比拼，更是心理和体力的较量。合理安排时间，适时休息，保持头脑清醒才能坚持到最后。记住，每个参赛者都是从新手开始的，多实战、多总结，你也能成为AWD高手。