线下AWD平台搭建以及一些相关问题解决 一.前言 文章首发于tools,因为发现了一些新问题但是没法改,所以在博客进行补充. 因为很多人可能没有机会参加线下的AWD比赛,导致缺乏这方面经验,比如我参加过五次线下AWD攻防,虽然看过许多网上的AWD打发套路,但终究都是纸上谈兵,所以前几次都是被吊锤,一来不熟悉环境,二来有点手忙脚乱,其实根本原因就是缺乏经验,因此最近翻了翻Github,终于找到一个不错的项目,下面便是搭建过程和一些注意事项. 二.平台搭建过程: 准备工作:需要准备一台Ubuntu虚…

CTFd平台搭建以及一些相关问题解决 一.序言 因为想给学校工作室提高一下学习氛围,随便带学弟学妹入门,所以做了一个ctf平台,开源的平台有CTFd和FBCTF,因为学生租不起高端云主机所以只能选择占资源相比FBCTF小的CTFd进行搭建.记录一下搭建过程和遇到的一些问题. 二.搭建CTFd步骤 首先我们需要安装镜像,这里我选择的是阿里云的ECS,Ubuntu16.04,单纯是因为喜欢Ubuntu的风格,CentOS也是可以搭建的. 等待重置系统后,此时的服务器是纯净的,什么都没有,甚至没有if…

开学后实验室来了几个新同学,在线上CTF方面大家一直在持续学习,但AWD模式的CTF我们练习并不多,所以准备搭建一个AWD平台用于实验室成员的线下赛攻防练习. 最开始的是防灾科技大学的线下AWD靶场: https://github.com/glzjin/20190511_awd_docker 但是靶场没有计分板和组队显示等功能,又找了一下: https://github.com/zhl2008/awd-platform 腾讯云服务器没有翻墙,从github上面拉取下来有495MB,本来想从本地电…

CTF线下awd攻防赛中常用一个文件监控脚本来保护文件,但是就博主对于该脚本的审计分析 发现如下的问题: 1.记录文件的路径未修改导致log暴露原文件备份文件夹:drops_JWI96TY7ZKNMQPDRUOSG0FLH41A3C5EXVB82/bak_EAR1IBM0JT9HZ75WU4Y3Q8KLPCX26NDFOGVS(猥琐一点可以直接删除掉,不给对方自行恢复的机会)文件监控记录文件:drops_JWI96TY7ZKNMQPDRUOSG0FLH41A3C5EXVB82/log_WMY4R…

1.先是使用 https://github.com/m0xiaoxi/AWD_CTF_Platform 这个平台搭建 这个平台很好用,是python脚本自动搭建,基本不需要怎么更改,自带了四道题的源码,有两道环境有问题,docker搭不起来,有时间再去解决把. 2.之后就换成了 https://github.com/zhl2008/awd-platform 可以看到这个平台好久没更新了,而且有许多小问题. 这个平台带了好多题目,很大,要是用github那个20kb的下载速度,一晚上差不多把. 之…

今晚简单来看看那天比赛的源码吧,比赛的时候还是有些慌没有好好去静下心看代码. awd给的题中的漏洞,都是那种可以快速让你利用拿到权限后得到flag的那种,特别复杂利用的一般没有. 建议先黑盒去尝试,例如前台上传,后台上传,等等,执行失败再来结合代码审计看看是否可以绕过利用. 所以审计中重点关注预留后门,注入,文件上传,命令/代码执行. 0x01 预留后门 没有太多套路和隐藏 就是明显的马 比较有意思的是第一个大马. 当时以为就是普通的$pass  = 'ec38fe2a8497e0a8d6d34…

背景 最近<串并行数据结构与算法设计>的老师在educoder上布置了一些SML程序设计题,虽然网站上有在线编译功能,但还是在线下编译调试方便,特记录编译环境过程如下(我用的GVIM,但Notepad++.Visual Studio Code等编辑器可以类推) 第一步:安装编译器 下载Standard ML of New Jersey(https://www.smlnj.org/),下载完直接一路安装就行,环境变量已经自动配好了. 第二步:配置GVIM 打开GVIM目录下的配置文件_vimrc…

1.安装docker环境 a.使用的是ubuntu系统,通过sudo apt install docker.io进行docker得安装,此方式会自动启动docker服务. b.通过curl -s https://get.docker.com/ | sh进行安装,此方式可能需要手动启动docker服务,启动命令为:service start docker. 安装成功后可通过docker version查看版本信息 2.下载比赛题目 a.通过sudo git clone https://github…

1.安装docker环境 a.使用的是ubuntu系统,通过sudo apt install docker.io进行docker得安装,此方式会自动启动docker服务. b.通过curl -s https://get.docker.com/ | sh进行安装,此方式可能需要手动启动docker服务,启动命令为:service start docker. 安装成功后可通过docker version查看版本信息 2.下载比赛题目 a.通过sudo git clone https://github…

1.先要安装 JDK,下载地址: http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html 安装成功后在终端输入 java –version 可以看到版本信息即为安装成功: ➜ ~ java -version java version "1.8.0_65" Java(TM) SE Runtime Environment (build 1.8.0_65-b17) Java Hot…

搭建本地开发环境 angular官网社区上说:你应该在自己的电脑上本地开发... 你也应该在本地环境学习 Angular. 本人也认为在本地搭建学习环境--靠谱.所以决定尝试一下. 安照中文社区给的步骤一步一步来. 新建项目目录(你可以暂时为其取名quickstart,以后再重命名). 克隆或者下载<快速起步>种子到你的项目目录. 安装 npm 包. 运行npm start来启动例子应用. 安装npm包直接安装node.js的安装包就解决了. 然后执行下面命令: git clone https…

微信连Wi-Fi功能在第三方开发者和服务商已经有出现了,但有些成本相对会高些.近日微信公众平台新添了一个功能插件“微信连Wi-Fi”,已有微信认证过的公众号即可申请开通.赶紧去布局这个线下微信增粉利器吧.微信连wifi正式全量对外开放申请 升级智能服务;5.18更新[福利]非认证公众帐号也能申请微信连Wi-Fi了 微信连Wi-Fi功能介绍 微信连Wi-Fi,是为商户的线下场所提供一套完整和便捷的微信连Wi-Fi的方案 通过微信生态链和开放平台体系,将更好地帮助商户触达线下用户 详细介绍请移步官方…

最近做的项目,由于预算有限,公司决定不采购Windows服务器,而采购基于Linux的服务器. 一般的VPS服务器,如果使用Windows系统,那么Windows Server2012\2016安装好后,就占用1GB的内存了:只要运行起来,2G的内存就用掉了:装上SqlServer.跑个.net,4G内存是标配,用户数量稍微多些4G内存也捉襟见肘了:分配2个VCpu,在桌面状态下不运行任何程序,每个核心的占用率在15%~20%左右. 大家知道64位的CentOS7装好后内存占用是多少吗,用fre…

.背景 日志主要包括系统日志.应用程序日志和安全日志.系统运维和开发人员可以通过日志了解服务器软硬件信息.检查配置过程中的错误及错误发生的原因.经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误. 通常,日志被分散的储存不同的设备上.如果需要管理数十上百台服务器,必须依次登录每台机器的传统方法查阅日志,这样很繁琐和效率低下.当务之急是使用集中化的日志管理,开源实时日志分析ELK平台能够完美的解决上述所提到的问题. 2.工具 ELK由ElasticSearch(ES).Logs…

近打了2场CTF线下赛,把AWD模式中的一些小套路做一些总结,本人web狗,二进制部分就不班门弄斧了. 一. AWD模式简介 AWD:Attack With Defence,比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分. 一般分配Web服务器,服务器(多数为Linux)某处存在flag(一般在根目录下): 可能会提供一台流量分析虚拟机,可以下载流量文件进行数据分析: flag在主办方的设定下每隔一定时间刷新一轮: 各队一…

作者:Veneno@Nu1L 稿费:200RMB 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 原文:https://www.anquanke.com/post/id/84675 Hello,大家好,我是Nu1L战队队长Veneno,通过这篇文章说一下关于CTF线下赛的AWD模式(当然也有一些比赛是沙盒模式),以及身为一只Web狗的你如何在各位大佬们的手下存活:)可能没有技术干货,大家勿喷:) 1-何为AWD Attack With Defence,简而言之就是你既是一个…

filebeat+elk日志收集平台搭建流程 1.         整体简介: 模式:单机 平台:Linux - centos - 7 ELK:elasticsearch.logstash.kibana三款开源软件的集合. FILEBEAT:代替logstash的采集功能,轻量.耗用小. 目前收集的有nginx日志.java日志[单行|多行]. 都是通过在客户端的生成日志配置文件中定义好初步json格式,然后利用filebeat采集到logstash,存储到elasticsearch,最后通过k…

原文:Redis之高可用.集群.云平台搭建 文章大纲 一.基础知识学习二.Redis常见的几种架构及优缺点总结三.Redis之Redis Sentinel(哨兵)实战四.Redis之Redis Cluster(分布式集群)实战五.Java之Jedis连接Redis(Redis Cluster版本)六.Redis之云平台介绍七.项目源码与资料下载八.参考文章   一.基础知识学习   Redis的基础包括以下内容,可参考文章https://www.cnblogs.com/WUXIAOCHANG/p…

Jenkins Gitlab持续集成打包平台搭建 SkySeraph July. 18th 2016 Email:skyseraph00@163.com 更多精彩请直接访问SkySeraph个人站点:www.skyseraph.com 1. 相关概念 Jenkins Jenkins,一个用Java编写的开源的持续集成工具,提供了软件开发的持续集成服务,可监控并触发持续重复的工作,具有开源,支持多平台和插件扩展,安装简单,界面化管理等特点.更多介绍参考维基介绍. Gitlab GitLab是一个利…

最近要写一个数据量较大的程序,所以想搭建一个hbase平台试试.搭建hbase伪分布式平台,需要先搭建hadoop平台.本文主要介绍伪分布式平台搭建过程. 目录: 一.前言 二.环境搭建 三.命令测试 四.启动YARN 五.web查看 一.前言 1.开始搭建前上官网看了一下,发现最新版本是3.0,但一想到跨版本而且又是最新版本的一般都会出现各种不一样的问题,所以决定使用了2.7.3,hadoop2的最新版本,至于跟后面搭建hbase的版本兼不兼容的情况等遇到再看怎么处理(实验证明最新版本的hba…

Storm on YARN: Storm on YARN被视为大规模Web应用与传统企业应用之间的桥梁.它将Storm事件处理平台与YARN(Yet Another Resource Negotiator)应用管理框架进行了组合,为此前进行批处理的Hadoop应用提供了低延迟的处理能力. 诞生背景(yahoo): 雅虎公司平台副总裁Bruno Fernandez-Ruiz表示,他们发现Hadoop在处理海量数据时的速度还不够快.Hadoop和MapReduce的速度无法满足用户事件,比如电子邮件…

BAT线下战争:巨额投资或培养出自己最大对手 2015年10月12日09:49   <财经>杂志    我有话说(18人参与) 收藏本文        BAT大举投资线下公司,看似咄咄逼人,实则是防御而非进攻.它们既无法掌控诸多创业公司,更无法统领盘根错节的传统线下企业 □本刊记者 宋玮 吕倩/文 中国互联网行业三巨头“BAT”,正在遭遇不同程度的挑战与危机. 过去十个月内,阿里巴巴市值跌掉1407亿美元.2015年8月24日,阿里巴巴首度跌破发行价,10月7日美股收盘,其股价已从最高峰时的1…

2019年3月16日对于合肥.NET来说是一个特别的日子,因为这是合肥.NET技术社区首次非正式线下聚会!这次聚会受场地限制(毕竟是聚餐的形式),即使换成了小椅子后,最多也只能容纳24个人,所以还有一些小伙伴不能到现场参加,这里对他们说声抱歉,让我们期待下次的聚会吧,下次我们将主要以主题演讲为主,这样不会再受场地的限制来限制参加的人数了.然后让我们先上一张合影感受下现场的氛围吧! 接下来我将对整个过程进行回顾. 作者:依乐祝 原文地址:https://www.cnblogs.com/yilezh…

目录 一.介绍 二.安装JDK 三.安装Elasticsearch 四.安装Logstash 五.安装Kibana 六.Kibana简单使用 系统环境:CentOS Linux release 7.4.1708 (Core) 当前问题状况 开发人员不能登录线上服务器查看详细日志. 各个系统都有日志,日志数据分散难以查找. 日志数据量大,查询速度慢,或者数据不够实时. 一.介绍 1.组成 ELK由Elasticsearch.Logstash和Kibana三部分组件组成:Elasticsearch是…

转自:http://www.cnblogs.com/zmkeil/archive/2013/04/17/3027385.html对于HG255D参照这里:http://www.right.com.cn/forum/forum.php?mod=viewthread&tid=131349这里也可以参考:http://blog.csdn.net/eldn__/article/details/9707065 (本文在20160815有更新)1.OpenWRT平台搭建1.1环境准备 系统Ubuntu12.…

1月20日正值大寒节气,在微软MVP朱兴亮的组织牵头下,上海MVP自发举办了题为<跟社区专家一起聊聊混合云.领域驱动.区块链和数字营销>的技术交流会.四名来自上海的MVP分别在自己擅长的技术领域做了主题演讲,并现场回答了与会者提出的问题.虽然天气阴冷细雨绵绵,但这并没有阻挡大家利用周末休息时间远道而来,对我们的活动支持捧场的热情,现场基本座无虚席.在MVP进行相关的技术分享和介绍之后,大家仍然觉得意犹未尽,纷纷参与到面对面的讨论之中.整场活动下来,MVP与参会者之间有着积极的互动,气氛还是比较…

一.目的 为指导在Centos6.8系统下搭建标准ELK平台的工作. 二.定义 Elasticsearch Logstash Kibana结合Redis协同工作. 三.适用范围 适用于运营维护组运维工程师,针对在系统Centos6.8下搭建标准ELK平台的工作. 四.环境(结构图如下,IP不一致) Elasticsearch+Logstash_server Logstash_agent Elasticsearch+Logstash_agent Logstash_agent Elasticsear…

本文首发安全客,未经允许禁止转载.原文链接 一. 前言 随着CTF的普及,比赛的形式也有了越来越多的花样,对于线下赛来说,开始出现了安全加固或者防御战之类的环节,亦或者因为拿下靶机后不希望其他攻击者进入而进行“争夺”,无论什么形式,这些都需要我们对于服务器的防护工作有所了解.对于线下赛,笔者虽说没有什么很高超的攻防技巧,但也是有着一些自己的心得.本文总结了一些CTF线下赛中常用的服务器加固姿势,希望能对各位CTF朋友们有所帮助.环境针对目前常见线下赛常见的linux Web服务器,但是因为CTF…

对本次线下活动感兴趣的朋友,欢迎点击此处报名,领取免费票. 今年3月,Docker刚刚过完5岁生日,五年期间,Docker也逐渐在技术和实践方面趋于成熟,更是在去年年底主动拥抱Kubernetes. 5月19日,网易云将联合Docker官方主办Docker Meetup,邀请业界Docker深度实践企业,分享在容器.微服务和Kubernetes等方面的深度实践,更有Docker技术专家深度解读Docker对Kubernetes的拥抱! 当日议程安排: 主要议题包括: 议题1:深度解读,Docke…

HustOJ平台搭建非常简单,首先为了排除一些不必要的故障,可以使用阿里云的服务器更新系统盘让系统盘初始化保持在没有其他包依赖的环境下及其使用root用户. 1.针对Ubuntu14.04(根据官方文档上,这个版本是最稳定的) wget https://raw.githubusercontent.com/zhblue/hustoj/master/trunk/install/install-ubuntu14.04.sh sh install-ubuntu14.04.sh 两条命令行就已经完成了安装…