AWD—防守流程

简介

根据awd-platform:awd靶场学习的防护流程。

一、备份网站

备份网站源码和数据库。

1.1web网站源码备份

用moba工具,托动就行

利用linux自带命令的进行备份

有moba工具托动,就可以了,命令过于费时。

1.2mysql数据库备份

mysql备份和恢复

系统命令:
备份:
mysqldump -uroot -ptest test > /tmp/test01.sql
​
mysql命令行:
恢复:
create database test;
use test;
source /tmp/test01.sql

二、系统安全性检查

就是不该开的端口3306是否开启;有没限制ssh登录、ssh密码登录、MySQL默认密码修改等

2.1修改web网站后台登录密码

直接数据库中查询,更改

mysql>select * from admin;
mysql>update admin set user_name=’admin123′;

别忘了+++++++++++++++++++++++++++配置权限
mysql>flush privileges;

flush privileges 命令本质上的作用是将当前user和privilige表中的用户信息/权限设置从mysql库(MySQL数据库的内置库)中提取到内存里。MySQL用户数据和权限有修改后,希望在”不重启MySQL服务”的情况下直接生效,那么就需要执行这个命令。通常是在修改ROOT帐号的设置后,怕重启后无法再登录进来,那么直接flush之后就可以看权限设置是否生效。而不必冒太大风险

AWD—防守流程AWD—防守流程

2.2修改mysql密码

mysql>use mysql;
mysql>update user set password=password("root123") where user='root';
mysql>flush privileges;

修改完数据库密码,一定要在网站根目录下去修改config.php配置文件。

AWD—防守流程

2.3修改ssh密码

给我们的ssh是低权限!!!

$ passwd

AWD—防守流程

三、部署waf

(是否让允许使用waf)

挂waf的php语句

include_once('waf.php');
require_once('waf.php');

将waf.php上传到自己网站服务器上

AWD—防守流程

进行vi编辑,保存即可。

AWD—防守流程

四、修改权限

比如mysql用户读写权限,上传目录是否可执行权限等

含在学习中学完,补全。。。。

五、部署文件监控脚本

5.1文件的上传和删除

监控可读写权限的目录是否新增、删除问价你并及时题型。

根据特点网站进行文件监控

文件监控脚本上传到服务器上

python命令运行:

team1>python monitor.py

AWD—防守流程

5.2杀死不死马

将脚本上传kill.php删除不死马


执行:

$ php kill.php

AWD—防守流程

强行 kill 掉进程后重启服务

建立一个和不死马相同名字的文件或者目录

不断写入一个和不死马同名的文件

六、部署流量监控脚本或开启服务器日志记录

为了进行流量回访,看其他大佬如何用我们没有发现的漏洞来打我们的。

含在学习中学完,补全。。。。

#+++++++++++++++++++++++++#

vii…万能密码和后门基本防护

最常见,最简单的防策略:

修复万能密码

原语句:
$user=$_POST['user'];
加上过滤函数:
$user=mysql_real_escape_string($_POST['user']);

网站留有的后门

我们采取注释或者删除就ok

在首页,最下方存在shell后门,cat /flag一下,

AWD—防守流程

点击执行,成功出现flag:

AWD—防守流程

那么我们修改代码文件,注释或者删除:

AWD—防守流程

在cat /flag,页面错误,不再显示flag

AWD—防守流程

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/articles/web/6277.html

发表评论

邮箱地址不会被公开。 必填项已用*标注