基本流程:
0x001.环境分配:
比赛开始前,每支队伍都会获得一台或多台带有脆弱服务的服务器,这些服务器通常运行相同的初始环境。
在AWD比赛中,“环境分配”其实就像给每个队伍发一个“比赛房间”,里面放着一台装有各种“漏洞问题”的电脑。
通俗地说,可以这么理解:
分发“房间”:
每个队伍在比赛开始前都会得到一台或几台“专用电脑”(服务器)。这些电脑就像你参加考试前拿到的试卷,大家都是从同样的起点开始。
内含问题:
这些电脑里预先设定好了各种漏洞,就像试卷上的题目。你既要尽快修复这些漏洞,防止别人趁机“捣乱”,又要试着找出对手电脑里的漏洞,去“摘取”隐藏的旗子(flag)得分。
安全与竞争:
环境分配的目的是确保每个队伍都有相同的资源和挑战,让比赛既考验防守(修补漏洞)也考验进攻(利用漏洞)的能力,就像大家在同一场考试中比拼解题速度和技巧。
这种设置既保证了公平性,又激发了团队在攻防两方面的快速反应和策略思考。
0x002.攻防并行:
防守(Defense):
队伍需要尽快修复服务器上的漏洞,以防止其他队伍的攻击,同时保持服务可用性。
在AWD比赛中,防守部分就像给你的“家”(服务器)装上防盗门、报警器和监控摄像头,目的就是防止别人“入室盗窃”(攻击你的系统),同时保证家里的灯光和水电正常(服务持续可用)。
下面用更通俗的话介绍一下防守主要包括哪些内容:
备份数据
就像出门前你会把重要文件备份好,防守时首先要备份网站源码和数据库。一旦系统被破坏,能迅速恢复,避免因停服而被扣分。
系统检查和加固
检查系统的“门窗”有没有漏洞:
修改默认密码、关闭不必要的端口
调整文件权限,确保别人不能轻易修改重要文件
就像修补房子上的裂缝,防止小偷钻进来。
部署防火墙和监控工具
就像安装防盗门和报警系统,利用WAF(网络防火墙)和监控脚本,实时检测是否有异常文件变化或入侵行为,及时发现并处理问题。
快速响应与团队协作
一旦发现漏洞或被攻击,团队成员要迅速沟通,协调修复漏洞,恢复服务,就像家里 有了紧急情况大家一起行动,确保安全。
总的来说,防守的关键在于提前预防(加固、备份)、实时监控(报警、检测异常)和迅速恢复(修补漏洞、团队协作),以保证你的服务器能像坚固的堡垒一样,既能抵御外来攻击,又能持续稳定地提供服务。
攻击(Attack):
队伍需要分析其他队伍的服务器,寻找并利用漏洞,获取flag或控制权限。
在AWD比赛中,攻击部分就像你扮演“侦查员”和“窃贼”的角色,目标是趁对方还没修好防盗门时,溜进他们的“家”里拿走宝贝(flag)来得分。
通俗来说,攻击的主要步骤包括:
侦查和发现漏洞
就像侦查邻居家有没有开着的窗户,你需要利用扫描工具或脚本,找出对方服务器中的安全漏洞(比如弱口令、错误配置、旧版本软件等)。
利用漏洞进行入侵
发现漏洞后,你会使用相应的攻击工具或自己编写的脚本,就像撬开那扇没关紧的窗户,进入对方的系统。
寻找并获取flag
入侵后,你需要在对方的系统中找到隐藏的“宝藏”(flag),这就像在屋子里搜寻贵重物品一样。获取到flag后,马上提交给比赛平台获取分数。
快速行动与隐蔽操作
因为对方也在不断加固防守,所以你需要迅速行动,尽量保持低调,避免被对方发现并及时堵上漏洞。
总体来说,攻击部分需要你具备敏锐的观察力、熟练的工具使用能力和迅速的应变能力,就像一场实时的“寻宝大赛”,既要找准机会得分,又要防止被对手反击。
0x003.得分机制:
服务可用性分(Service Score):服务器的核心服务必须保持可用,否则会被扣分。
防守分(Defense Score):成功防守住攻击、修复漏洞可获得防守分。
攻击分(Attack Score):成功攻击其他队伍并提交flag可获得攻击分。
在AWD比赛中,得分机制其实就像你在“抢分”同时又要“保分”,主要包括两大块:
攻击得分
你通过入侵对手的服务器,找到并提交隐藏的“宝藏”(flag)来获得分数,就像偷到了对方家的钱财一样。每次成功提交都会得分,而且flag通常会定期刷新,所以你可以多次进攻得分。
防守得分
你的服务器必须保持正常运作,也就是“家门牢固”。如果你的服务运行正常,评委会定期检查你的“家”,确保没有被攻破;如果被攻击致使服务中断,就会扣分。防守得分的重点在于及时修补漏洞、加强安全措施,避免对方趁虚而入。
总体来说,比赛分数就是你抢到的分数减去因防守不当而丢失的分数,谁的总分最高,谁就获胜。简单来说,就是既要“进攻得分”又要“保住分数”,两者缺一不可。
0x004.实时对抗:
比赛通常持续数小时至一天,期间队伍需要不断修复漏洞、优化防御,同时对其他队伍进行攻击。
实时对抗就好比你在同一时间既要保护好自己的家,又要去寻找机会“潜入”别人家里得分。
具体来说:
同时进攻和防守:
比赛中没有固定的“进攻时间”或“防守时间”,而是大家一边不断修补自己房子的漏洞,一边寻找对手家的破绽,就像在不停地进行攻防较量。
快速响应:
每个队伍都必须时刻保持警惕,及时发现并应对对手的攻击,同时利用发现的漏洞迅速进攻,争取得分。
动态博弈:
实时对抗意味着每一刻情况都有可能发生变化,成功防守或攻击的机会都是瞬间出现的,需要队员们迅速决策和协作。
总的来说,实时对抗就是一场没有暂停键的攻防大战,既要守住自己的阵地,又要时刻出击争取优势。
0x005.最终结算:
比赛结束时,根据各队伍的攻击、防守和服务可用性得分进行排名,分数最高的队伍获胜。
最终结算就像比赛结束后的“成绩公布”。比赛结束时,系统会把你在进攻中成功拿到的 flag 得分,加上你防守时保持服务正常获得的分数,再减去因为服务中断或漏洞被利用而扣掉的分数,最后统计出一个总分。总分最高的队伍获胜。
简单来说,就是比赛一结束,把你抢来的分和失去的分一算,看谁表现最好,就像期末考试公布总成绩一样。


1万+

被折叠的 条评论
为什么被折叠?



