AoiAWD：专为比赛设计的低权限运行EDR系统

【Github】项目名：AoiAWD – 专为比赛设计的低权限运行EDR系统

项目简介

AoiAWD是一个由Aodzip（安恒信息海特实验室研究员、HAC战队成员）维护的针对于CTF AWD模式的开源项目。它是专为比赛设计的轻量级EDR系统，具有便携性好、低权限运行的特点。在AWD比赛场景中，它能应对主办方对选手SSH权限的限制以及针对通用防火墙脚本的轮询式检查等情况。其组件间基于socket通信，便于灵活部署且有图形可视化界面，行为探针支持最低系统权限运行，默认不干扰题目业务逻辑，可绕过大部分check脚本的行为检查，还具备多种维度的行为捕获能力。

项目结构

AoiAWD分为六个组件，各组件协同实现完整功能：
– MongoDBServer：日志数据存储数据库，是整个系统的核心存储，在Ubuntu环境下无需额外配置，apt即可搞定，一般和AoiAWDCore部署在选手可控主机上。
– AoiAWDCore：中心数据处理与插件后端服务器，负责探针数据收集入库、插件生命周期管理、Web前端托管服务，运行compile.php可打包为二进制文件，插件放在特定文件夹下，Web端能热更新插件。
– Frontend：数据可视化平台前端，由Vue编写，用来浏览日志、产生报警动画等可视化展示，使用npm编译打包后一般与AoiAWDCore集成为可执行文件。
– Guardian：PWN行为探针，是二进制PWN的影子外壳，原理是包裹在PWN题目外侧，记录STDIN与STDOUT流量并快照内存结构上传回AoiAWDCore，在项目目录运行compile.php编译相关程序。
– TapeWorm：Web行为探针，是PHP Web的影子外壳，可自动注入到PHP文件头部，支持输入输出流量抓取、上报和处理输出数据，运行compile.php生成自动注入程序。
– RoundWorm：系统进程与文件系统行为探针，原理是扫描/proc文件夹获取进程信息，利用inotify功能记录文件操作，在靶机上运行，直接运行make编译，可通过添加 -h查看帮助文档。

项目总结

AoiAWD是一个功能较为全面的针对比赛场景的EDR系统，在CTF AWD模式比赛中有很大的应用价值。希望大家能对这个项目进行讨论，欢迎留言分享你们的看法或者使用心得。

项目地址

GitHub链接直达