Python 自動化攻擊腳本在高職“網絡安全”技能競賽中的應用

◆宋超

（江蘇聯合職業技術學院無錫旅游商貿分院 江蘇 214000）

1 引言

沒有網絡安全就沒有國家安全，目前“網絡安全”賽項已成為各級各類職業院校比拼實力的舞臺，一場“網絡安全”技能競賽通常由兩部分組成：CTF 和AWD，在AWD 中各個參賽隊伍被分配了若干靶機，這些靶機存在著各種漏洞，在規定時間內參賽隊伍要盡力加固自己的靶機，并利用漏洞攻擊對方靶機以獲得flag（flag 是靶機root 目錄下flagvalue.txt 文件的內容），具有很強的競技性。靶機上漏洞類型多樣，如高端口后門、Webshell、數據庫漏洞等，現實中由于“網絡安全”賽項靶機數量巨大，單憑手動攻擊很難在短時間獲得大量flag，于是利用編程語言編寫自動化攻擊腳本，批量獲得flag 顯然是必要的。

2 Python 語言腳本

Python 語言是當今編程語言中的熱點，它有著高效的數據結構，簡單的面向對象開發的環境，豐富的標準庫等特點，廣泛應用在網絡數據的爬取，人工智能，大數據分析等多方面。在網絡攻防中Python程序常用的第三方庫有OS 庫、requests 庫，MySQLdb 庫等。

3 網絡靶機漏洞

在高職“網絡安全”AWD 競賽中常見的靶機漏洞有系統服務漏洞、網站漏洞、數據庫

漏洞等，其中系統服務漏洞如一些常規端口漏洞：21、22、23端口的弱密碼，著名的139、445 端口的“永恒之藍”漏洞，3389 端口的藍屏攻擊、cve-2019-0708 漏洞等，還有就是系統的高端口后門；網站漏洞包括命令執行、文件包含、文件上傳、SQL 注入等；數據庫漏洞則是通過數據庫連接的弱密碼，運行數據庫語句進行系統滲透。

3.1 系統的后門端口

系統的后門端口往往是程序員預留在系統中以便可以修改系統缺陷的端口，最著名的是Windows 自動更新，如果后門被他人知道，后果將是不堪設想的。……