[CISCN2020]总决赛

国赛断网后战斗力趋近0，经常出现有的东西知道怎么回事但是想不起来还不能查的尴尬境地呜呜呜，被暴打
加上平台垃圾，体验极差

day1

易霖博的傻逼平台，具体有多垃圾不想说了，验证码AWD，验证码区分大小写，请分辨一下oOliIL1zZpPwWkK？一个flag交上去需要一分钟，交上去了之后给你一句图形验证码错误。15分钟一轮flag，平台崩了之后选手发呆一个下午到晚上七点散场，加固时间暂停时间挨打，师傅一个pwn好不容易出了准备割一波韭菜你直接把题变没了？莫名其妙突然环境被重置又挨打，最后成绩第二天投票决定百分比，还有七个队虚空上分直接进入前30，断网断网有的师傅还是开着热点，聊QQ翻博客的都有，战斗力正无穷
真有你的啊易霖博，不多说了知乎见

还是记录一下最近打awd的心得，毕竟awd打的还是比较少，毕竟我是个菜逼（主要还是被没网打怕了，有网我不能临时查？）

防范不死马

易霖博平台出问题的时候虚空挨打，休息结束发现被中了不死马，真有你的
防范不死马，用如下命令杀全部进程，防止不死马复制，也可以写成一个PHP文件，访问一次就杀全部。因为不是root权限，所以不会把Apache主进程杀掉，不会有大问题
杀的方式和PHP服务类型也有区别，php-apache或者php-fpm的用户名不一样

#pfp-fpm 条件下 
kill `ps -ef | grep php-fpm | grep -v grep | grep 'www' | awk '{print $1}'`

# apache
#httpd
kill `ps -ef | grep httpd | grep -v grep | grep 'www' | awk '{print $1}'`

#apache2
kill `ps -ef | grep apache | grep -v grep | grep 'www'| awk '{print $2}'`

https://rmb122.com/2019/04/04/%E5%B9%B2%E6%8E%89-PHP-%E4%B8%8D%E6%AD%BB%E9%A9%AC/

挂载流量审计脚本

之前都是用一个python脚本递归搜索挂载，结果这次awd没有python，导致一开始被打了好多下还不知道哪挨打
后来说准备一个PHP的load脚本，不过后来师傅们说这种大型框架，就在一个config之类的被引用的多的地方include_once一下，这样子基本上就能护住绝大多数文件了
递归挂载可能直接导致环境崩溃，使用了namespace的PHP可能会出现大问题
所以还是稍微手动搞一下
这里提一嘴，易霖博毫无check，有的师傅感觉把页面都删的差不多了，还有无数个无敌通防，绝对防御，就很赖皮

查看最新更新文件

可能是我打的awd的质量都不高，感觉web除了几个垃圾洞以外，剩下的都是cms的奇怪poc或者是0day了，那么除了使用seay和D盾之类的来扫弱智洞以外，主办方可能稍微添加一些比较隐晦的洞。这个时候直接查看文件修改时间，拉下来的模板都是很老的，但是主办方要修改加洞的话必然会修改这个时间。就可以靠这个快速发现漏洞
打的时候没网，现在记一下，也不知道能不能用

当前目录24小时内修改的PHP文件
find . -name '*.php' -mtime 0
当前目录查找最近30分钟修改的当前目录下的.php文件
find . -name '*.php' -mmin -30
当前目录一天前修改过的文件
find . -type f -mtime +1
当前目录一天内修改的文件
find . -type f -mtime -1

修题nohup

PHP改了就能用，很方便，但是python和nodejs就不太行，需要重新起一个服务，然而我们kill -9杀了服务后，我们重启的服务在我们退出了中断之后也就没了，因此，我们需要强力的nohup指令帮我们在后台运行指令，改完跑路了服务也不会挂
nohup COMMAND > nohup.out 2>&1 & 将标准错误重定向到标准输出，再把标准输出重定向到out文件中
nohup之后好像需要exit退出终端，今天直接关了终端好像服务就没了，还懵逼了一会
就可以了（嗯
nodeJS重启服务是需要node /app/app.js这个样子，也可以用grep看看是啥，总之今天差点忘了导致自己翻车

Linux看开端口

好像没什么用但是还是记一下，还是完全不会用Linux呢
netstat -ptuan