共计 452 个字符,预计需要花费 2 分钟才能阅读完成。
前一阵,加入了一场网络安全比赛,体验了 CTF 线上赛到 AWD 线下赛的残缺过程。筹备 CTF 较量最好的方法就是刷题,然而筹备 AWD 时发现不容易找到实在的环境进行训练。较量过后总结,AWD 较量环境的确有其特殊性,新手上路容易懵圈儿,所以尝试凭借回顾,复现一个较量环境,供大家训练应用。
环境的特点
这次较量的环境是由某四字网络安全解决方案提供商提供的:
- 这是一个 WEB 服务,装置了某个版本的 Metinfo CMS,而且留了几个简略的 RCE 后门。
- 用于进攻的 SSH 账号权限很低,造成很多不便
2.1 不足一些根本的文件操作权限,比方 rm/mv/chmod 等,被挂马后处理起来要费点劲。
2.2 没有权限重启 Apache。
2.3 没有 zip/tar 等命令权限,备份网站要吃力些。
环境部署
复现的较量环境是一个 ova 文件,能够通过服务器虚拟化软件导入。
- 导入后要留神调整 IP
- 防御者 SSH 账号 ubuntu / symantec
环境下载
通过百度网盘下载(3.2GB)
链接: https://pan.baidu.com/s/1ewAp…
明码: g25j
正文完
