“秦淮,真是又一次让我们刮目相看啊!”
杜苍感叹了一声,同时也为自己招收下秦淮的这个决定感到庆幸。
“好了,咱们也不要浪费时间了。”杜苍对着众人说道,“开始训练吧。”
随着众人回到自己的座位上,陈瑶开始扮演战队助理的角色,“按照原先制定的计划,战队成员分为两组。
第一组成员为杜苍、秦淮和贺嘉木,第二组成员为汪夏阳和俞远航。
在攻防赛模拟期间,每组成员除了要维护属于己方的服务器安全之外,还需要想尽办法攻陷对方服务器。
在规定时间内,每十分钟一次,能够在对方服务器上执行命令次数最多的小组,获得今天的胜利。
通过电脑端上的录屏进行验证。
第二天全战队成员的早餐,由失败的小组提供。
由于战队目前训练条件有限,服务器内置了十一个应用程序,今天只模拟8000端口,其他端口暂时不用去管。
现在,各位先将自己的笔记本电脑设备接入到自己负责服务器所在的网络内。”
待所有人都将网线接入到交换机上,并且确认无误之后,陈瑶向每个成员发放了服务器的远程管理登录账号和密码。
并且宣布模拟现在开始。
而陈瑶在期间的主要工作就是记录模拟训练过程中的各种数据。
现在服务器上面有什么,秦淮自然是不知道的,不过根据陈瑶发送过来的服务器登录方式,可以看出采用的是linux。
看来还是需要掌握基本的操作系统基础知识的。
......
一拿到账号,秦淮便对身边的杜苍说道:“社长,具体该怎么操作,你来安排吧。”
“服务器上面部署的应用都是来自省赛官方合作机构出的预演题目,大家都没有做过。
8000端口部署的是web网页应用,按照基本的流程来说,我们先自查漏洞,定位出应用的关键脆弱点。
因为赛场上规定,服务器的源代码是不允许被修改的,所以我先上服务器将源码下载下来,进行源代码审计,核查是否存在漏洞代码。
秦淮,你的任务是将所有网站上涉及到账号登录的地方,将密码修改。
嘉木,你的任务就是用漏洞扫描程序,扫描对方网站,看是否存在相关框架漏洞如反序列化或者直接命令执行。”
“好。”
对于贺嘉木来说,攻防赛才是适合他的地方,尤其是以前师傅带他的时候,讲的最多的就是如何攻陷一个网站。
所以,杜苍说的,他完全能够理解。
秦淮也是一样,杜苍这么一安排,他就全明白了。
先将自己的任务处理好。
利用陈瑶给的账号登录服务器,直接通过端口服务定位到网站源码所在的位置。
网站代码是PHP写的,通过简单的目录结构,就判定出了网站后台的地址。
从秦淮的经验来看,一般网站的登录口只有前台和后台之分。
前台很好找,直接浏览器打开网站首页就是,后台就比较麻烦了,如果在不知情的情况下,通常的做法是需要对后台的访问地址进行猜测的。
因为网站后台是一个相对隐私的地方,只开放给网站的管理员使用。
在秦淮现在所处的学生时代,网站后台暴露在互联网上的情况还是随处可见的,到了后来,就少很多了,大家的安全意识逐渐提高了。
确定了两个登录口的位置之后,就是进行修改密码的操作了。
通过查看源代码的配置文件,获取到网站所连接的数据库的地址和使用的账号密码。
不过因为服务器上数据库的端口并没有开放,秦淮直接通过在服务器上数据库操作。
按照自己的设想,只需要修改数据库内关于账号密码字段的数值,就能达到修改密码的目的。
进入到数据库内,秦淮看到后台账号为‘admin’、密码则是一串经过MD5加密过的数值。
有着很多年经验的侵华,一眼就看出了这个加密值原密码是‘admin123’,不知道是哪年公布的年度弱口令Top3,自己可见过太多次了。
转手将后台地址和登录账号密码发送给了贺嘉木,让他看下对方的密码有没有修改,如果没有修改,可以去后台转转。
为了防止等会自己难免需要进入后台的需求,秦淮设置了一个比较复杂的密码。
修改完成后,和杜苍、贺嘉木打了个招呼。
......
“卧槽,对面这么快就将密码修改了啊,不过还好哥哥机智,早就进来了。”俞远航的声音响起。
对于计算机软件编程这块,在战队里汪夏阳是要比俞远航要熟悉的,所以他接手了代码分析的任务,由俞远航负责秦淮和贺嘉木的任务。
“赶紧的,别磨蹭,不然等下登录状态失效了,你就哭吧。”
“放心好了,我已经找到了突破口了。”
“嗯?”
俞远航直接说道:“怎么?不相信?你打开后台文章管理模块那,你看看图片上传的那个接口处理,是不是有问题?”
听了俞远航那么笃定的语气,汪夏阳还是按照他说的话,查看了,果然发现了不对。
网站对于上传图片的判定上,只是简单的在网页上进行文件后缀的检查,至于传到了服务器上,则是完全不去管。
这样一来,不就可以直接上传木马了吗?
这也是不仅仅需要对源代码审计,还需要一个人负责网站的黑盒测试(通过不查看源代码的情况下,对网站进行安全测试),不然,在赛场那种争分夺秒的情况下,时间上的来不及。
俞远航很是潇洒的对汪夏阳吩咐道:“好了,现在我来攻击,你先修复这个漏洞,OK?”
“我不会。”汪夏阳淡淡的声音响起。
“哈?”俞远航发出了一声大大的疑问。
汪夏阳继续说道:“系统权限这么低,又修改不了代码,我不会。”
“我的天啊,提权不就行了?”
听了俞远航的话,汪夏阳压制了一天的脾气也上来了。
“我要是会提权,去年省赛我们还会是那成绩?要不咱们换换,你来?”
“我也不会......”
阅读重回学生时代:我成了黑客大佬最新章节 请关注侠客小说网(www.tcknh.com)