山东物联网蓝盾杯网络空间攻防赛赛后总结

赛前准备

防守机准备：
netstat -antpu 查看当前运行进程。
netstat -antpu | grep tcp | grep ESTABLISHED 查看当前tcp已连接的进程
netstat -antpu | grep tcp | grep ESTABLISHED >index.txt 将输出结果重定向至index.txt文件中，在安全状态时运行此命令，以后就以本文件为模板比较

准备一个脚本，在被攻击之后，执行脚本屏幕会打印比安全状态下多出的进程，尤其方便进程数太多之后不好查杀的工作

import osres = os.popen('netstat -antpu | grep tcp | grep ESTABLISHED')res = res.read()with open('index.txt', 'r') as fp:        lines = fp.readlines()        res_list = res.split('\n')        for r in res_list:                flag = 1                for line in lines:                        if cmp(r.strip(), line.strip()) == 0:                                flag = 0                                break                if flag:                        print r

我使用菜刀连接我的服务器之后，运行脚本，接着就出现异常进程了。

这时就可以使用kill -9 22046（进程号PID）将其杀死，但是菜刀有复连功能，所以进程还会存在。

赛后总结

这次比赛我感觉异常失败，昨晚ftp弱密码爆破，匿名登陆，遍历目录这些漏洞都是看到过的，mysql弱密码爆破直连3306，连接后执行sql命令查看文件内容，获取flag。今天问了问主办方，存在漏洞不止一处弱口令，文件包含，目录遍历常规漏洞都存在，要学习的还有很多。