CTF-AWD-WEB AWD 模式下的WEB试题仓库 上传一些参加过的CTF线下赛AWD模式的WEB试题等

python攻防脚本scripts；AWD比赛专用，管用有效；方便使用VSCODE直接运行，简单修改网址密码即可。

由于不死马写入内存，所以无法通过删除文件来停止 ⚫ 不死马运行权限为www-data,可以写一个php文件，通过kill的方式杀死不死马 AWD中多为非root用户，所以没有权限去查看apache的默认日志，也没办法直接抓包 ⚫ 所以我们只能用自己的办法去抓取流量 ⚫ Awd多数的考点都是web站的代码审计，所以其实就是获取到他人访问我们站点请求的参 数是关键 waf

1.该waf 1000多行，可防御一句话木马 注入 反序列化 命令执行，非65行只过滤的waf可比。 2.编译waf.c生成.so文件 waf.so (已编译） 3.将waf.so,watchbird.php文件存放在/var/www/html或其他目录中（/tmp） 4 每个防护的php前加入 5.访问任意, 如xxx/index.php?watchbird=ui,xxx/,xx/watchbird.php?watchbird=ui，设置waf.so路径

AWD的PHP软waf 用于防御的，可以嵌入网站进行防御。

本项目禁止用于比赛。如果您需要一个比赛场景下的WAF，可以考虑 。 （但请注意规则是否允许第三方通防） 守望者 版本1.4 适用于AWD的功能强大PHP WAF 功能： 易于配置（单文件，无需加载外部js / css） 可以随时开启/关闭某项防御 基本防御： 数据库注入（SQL注入） 文件上传（上传） 文件包含（lfi） 标志关键字 PHP反序列化（反序列化） 命令执行（rce） 分布式拒绝服务攻击（ddos） 请求头，请求参数（GET / POST）关键字 特殊字符 深度防御： 响应检测/反向代理（默认将流量发送到本地服务器自检，可配置代理服务器IP和端口实现反代功能） 响应flag检测并返回虚假flag 基于LD_PRELOAD的指令执行保护 基于open_basedirPHP文件操作保护 网页控制台： 功能开关及配置 实时日志查看 日志流量重构，可广播流量至指定网段，支持提取标记自动

CTF-AWD 训练平台 [TOC] 项目简介 一个简单的CTF-AWD平台，用于内部小型CTF对抗训练以及培训使用。 特点 docker化，简易部署 可部署在公网上，远程AWD攻防 训练环境可自定义扩展 基本使用方式 pre.py python pre.py web_chinaz 10 web_chinaz 为应用文件名称，10表示要生成的队伍数量 start.py python start.py 10 启动10个实例，以及check和flag服务。 stop_clean.py python stop_clean.py 暂停所有服务，并删除临时文件 注意，这里会删除所有现运行的容器，请谨慎使用。 pass.txt 存储队伍用户名密码，以及ssh、web端口 team01 ctf:308d66 ssh:2201 port:8801 team02 ctf:024b1d ssh:2202 po

安全攻防工具大集合，包括中国蚁剑、POC-T、网马查杀工具，日志安全分析工具、源代码审计系统等，超级实用！

如果您喜欢的话，希望您可以关注一下我们的微信公众号。 AWD线下赛脚本集合 目录结构 ########### ├── Readme.md               // 帮助文档 ├── Attack                 // 批量&攻击型脚本 │   ├── GetFlag.py         //用shell来批量getflag │   ├── upload_shell.py     //批量上传不死马并激活 │   ├── 命令生成不死马_批量版.py  //调用system函数来执行shell命令生成不死马 │   ├── 隐藏不死马测试版.php     //生成并隐藏文件 │   ├── 不死马.php          // PHP一直生成webshell │   ├── 命令生成不死马.txt   // 用linux命令一直生成不死马 │   ├──

网络攻防比赛平台（AWD攻防平台），python写的，支持自动排名，自动生成flag，自动检测宕机，设置队伍token，flag自动过期与检测一次性等等超全功能。