前一阵,参加了一场网络安全竞赛,体验了 CTF 线上赛到 AWD 线下赛的完整过程。准备 CTF 比赛最好的办法就是刷题,但是准备 AWD 时发现不容易找到真实的环境进行训练。比赛过后总结,AWD 比赛环境确实有其特殊性,新手上路容易懵圈儿,所以尝试凭借回忆,复现一个比赛环境,供大家训练使用。
环境的特点
这次比赛的环境是由某四字网络安全解决方案提供商提供的:
- 这是一个 WEB 服务,安装了某个版本的 Metinfo CMS,而且留了几个简单的 RCE 后门。
- 用于防御的 SSH 账号权限很低,造成很多不便
2.1 缺乏一些基本的文件操作权限,比如 rm/mv/chmod 等,被挂马后处理起来要费点劲。
2.2 没有权限重启 Apache。
2.3 没有 zip/tar 等命令权限,备份网站要费劲些。
环境部署
复现的比赛环境是一个 ova 文件,可以通过服务器虚拟化软件导入。
- 导入后要注意调整 IP
- 防御者 SSH 账号 ubuntu / symantec
环境下载
通过百度网盘下载(3.2GB)
链接: https://pan.baidu.com/s/1ewAp...
密码: g25j
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。