应急响应靶机-Linux-WhereIS

于 2025-04-28 23:11:17 发布
阅读量915 收藏 10
点赞数 28
文章标签: linux 服务器 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79903623/article/details/147597501
版权

账号密码

zgsf/zgsf

【1】攻击者的两个ip地址

首先拿到靶机先开启环境记得先赋予权限:

chmod 777 /home/zgsf/桌面/开启环境.sh 
/home/zgsf/桌面/开启环境.sh

登录root账户看看历史命令有些什么:

看这样子攻击者可能是写了一个恶意脚本upgrade.sh

打开发现是乱码什么也没有。

下面攻击者还去操作了system.log,我们不知道这个日志文件的具体位置,我们用find命令去找一下:

find / -name 'system.log' 2>/dev/null #这个会隔绝因权限问题的报错 
find / -name 'system.log'

找到该文件路径了,直接去访问:

vim /home/.system_config/system.log

发现这个是一个 ​​GoTTY​​ 服务的运行日志。GoTTY 是一个将命令行工具转换为 Web 服务的工具,允许用户通过浏览器访问终端会话。

只发现一个外部IP访问一些非常规目录

所以第一个攻击者IP应该是: 192.168.31.64

也可以通过Linux的任务计划程序去看看:

cat /etc/crontab

只有这一个任务计划程序,这应该是攻击者留下的恶意脚本,我们去打开看看:

可以看到是反弹shell脚本,更加确定了攻击者IP: 192.168.31.64

我当时查看靶机IP的时候发现有docker的网卡信息:

所以攻击者可能还会通过docker发起攻击

我们去查看一下docker容器状态:

docker ps -a

可以看到容器有: webdav,phpmyadmin,think,nginx,mysql,rabbitmq

其中thinkphp的漏洞风险更大,所以我们优先去排查该容器

进入thinkphp的docker容器进行排查:

sudo docker exec -it [容器ID] sh 
sudo docker exec -it 1d1 sh    #进入phpthink的容器  这里只输入了三位容器id

thinkphp框架的默认日志路径是:

ThinkPHP 5.1​/6.x/7.x/8.x​ runtime/log/

 ​​ThinkPHP 3.x​/5.0 runtime/Logs/

跟着路径下去访问:

可以看到这个ip在对phpthink框架进行恶意操作,执行远程命令,显示phpinfo

所以这是第二个攻击IP: 192.168.31.251

【2】flag1

排查了一圈没什么思路,继续回到一开始查看的历史命令:

攻击者还有一个动作:在/home目录下面搞了一个隐藏文件.system_config

我们去看一下:

cd /home/ 
ls -a 可以显示出隐藏文件

可以看到这里有很多隐藏文件,我们挨着看看:

在.system找到一个flag SYS{ZGSFYYDSadmin}

【3】后门程序进程名称

继续查看,在.system_config下面是之前看到的一个日志,system.log:

除了日志文件还有一个可执行程序,不知道是什么。

这里需要结合一下日志和历史命令来看:

在历史命令中有一个命令是:

nohup ./system_null -port 8899 -w bash > system.log 2>&1 &

这个命令是在后台启动一个名为 system_null 的程序,并让它监听靶机的 8899 端口,同时将输出日志保存到 system.log 文件。

我们再结合system.log文件继续看:

这里日志显示建立了一个新连接,连接的IP地址和端口是之前找到的那个攻击者IP

所以这里就可以确定,后门程序就是: systemd_null

不得不说这个后门程序有点牛叉,我把他拖出来扔进沙箱检测,什么也检测不出来,还有8MB那么大

【2】flag2

这个的话是参考了别人的思路,实在是不知道flag2放在哪了,结果是在nginx容器里面:

进入到nginx容器:

sudo docker exec -it 2da bash

查看历史命令:

history

flag2: zgsf{yerhawtigouhegih}

【4】攻击者的提权方式(输入程序名称即可)

首先要搞清楚攻击者的攻击方式是什么:

我们之前去看了docker环境,发现有phpthink的框架漏洞,所以攻击者可能获取到docker的权限之后 是利用的容器逃逸进行的提权

但是容器逃逸需要一定条件,就是去检查docker.sock是否可访问

ls -la /var/run/docker.sock

可以看到回显的是:

srw-rw---- 1 root 124 0 Apr 28 13:40 /var/run/docker.sock ​​
权限​​:rw- 对所有者(root)和组(124,通常是 docker 组)可读写。 
默认情况下,安装 Docker 时会将当前用户加入 docker 组,导致权限过宽。

所以攻击者的提取方式是通过docker容器逃逸了

程序名称应该就是: docker

openGL教程 11 】关于坐标系统
gongdiwudu的专栏
02-24 2553
本篇是openGL学习中的核心内容之一;坐标之间的互相变换,是较为外向的知识,读懂本篇的基础性知识是射影几何,本篇与着色,像素无太大关联,甚至与对象物体无关;视觉坐标是虚构的,只有进入度量体系才能具体化对物体姿态、移动计量和预测,进而产生影响。
OpenGL绘制图形(包20多个基本例子)
07-29
OpenGL绘制图形(包20多个基本例子)。直线,圆,椭圆,球体,曲线,曲面等基础图形的绘制。
opengl实例源代码,全是精华!
12-25
地形生成, opengl时钟代码opengl显示汉字 ,openGL虚拟3D小车 ,OpenGL文字输出 ,vc++ opengl代码爆炸 等等大量实例代码
OpenGL(一)图形编程的基石
最新发布
脚踏实地,实事求是。
03-24 1095
OpenGL(Open Graphics Library)是由Khronos Group维护的跨平台图形API标准
OpenGL入门学习
XscKernel的专栏 记录工作中做的点滴
12-04 2万+
环境搭建 OpenGL入门学习二 点直线和多边形 在OpenGL中指定顶点 开始绘制 例一画一个圆 例二画一个五角星 例三画出正弦函数的图形 OpenGL入门学习三 关于点 关于直线 关于多边形 OpenGL入门学习四 RGBA颜色 索引颜色 指定清除屏幕用的颜色 指定着色模型 OpenGL入门学习五 模型变换和视图变换 投影变换 视口变换 操作矩阵堆栈 综合举例 OpenGL入门学习六 双缓冲技术
OpenGL 入门(十)— 光照系统
qq_40120946的博客
02-06 1814
介绍三种光源类型:平行光(Directional Light)、点光源(Point Light)、聚光灯(Spot Light)。平行光,也叫定向光,当一个光源处于很远的地方时,来自光源的每条光线就会近似于互相平行。不论物体和/或者观察者的位置,看起来好像所有的光都来自于同一个方向。因为它的所有光线都有着相同的方向,它与光源的位置是没有关系的。平行光可以照亮的范围是没有限制的,它通常是作为太阳这样的角色在场景中出现的。 我们可以定义一个光线方向向量模拟一个定向光: 注意,我们对向量取反。我们目前使用的光照计
Opengl 画图的一个小实例
12-02
利用OpenGL设计一个窗口,在窗口中回执平面图形,学习计算机图形学的入门。
openGL画图程序
10-29
VC++ OPENGL 画图程序,多边形裁剪 多边形操作
OpenGL
05-31 1503
OpenGL是个专业的3D程序接口,是一个功能强大,调用方便的底层3D图形库。OpenGL的前身是SGI公司为其图形工作站开发的IRIS GL。IRIS GL是一个工业标准的3D图形软件接口,功能虽然强大但是移植性不好,于是SGI公司便在IRIS GL的基础上开发了OpenGLOpenGL的英文全称是“Open Graphics Library”,顾名思义,OpenGL便是“开放的图形程序接口”
OpenGL配置和渲染一个窗口
quietbxj的博客
06-12 291
OpenGL概念 OpenGL支持夸平台,支持MFC,Win32, QT等环境。 OpenGL常用库 glut:核心库 glew:扩展库 glm:工具
openGL画图
aDiligentCigarette的博客
02-22 338
https://www.cnblogs.com/csu-lmw/p/11759527.html
openGL绘制图形
wangjie36的博客
02-18 1174
接下来,通过glCreateProgram函数创建着色器程序对象,使用g1AttachShader函数将顶点着色器和片段着色器附加到着色器程序对象上,使用glLinkProgram函数链接着色器程序,使用glUseProgram函数激活着色器程序。首先,定义绘制图形的函数(在OpenGL的绘制回调函数中调用)和OpenGL的初始化函数(用来设置OpenGL的参数和状态)。在OpenGL中,可以回调函数处理用户输入事件,如键盘事件和鼠标事件和上下左右。主函数用来创建窗口和注册OpenGL的回调函数。
opengl 2d绘图
05-28
此资源,采用qtcreator opengl技术,显示2d的图片,可以修改利用opengl显示多张图片
OPenGL画图,动画,模型
12-30
学习OpenGL的例子综合,包括在正交视景体与透视视景体的互换,画线,调用OPenGL自带模型,光照的实现,三维字体显示,三维动画,3DS模型的调用.
Android OpenGL画第一个图形(二)
ZLGSPACE的博客
07-28 1037
通过OpenGL ES实现一个简单的几何图形显示,在本次学习过程中我们将会了解到OpenGL的坐标系、顶点、着色器、OpenGL程序以及OpenGL开发过程中的调试相关知识。
现代opengl 设计入门,第一个opengl 窗口
曾立文的博客
01-25 701
在上文中,我们做好了设计第一个opengl 窗口工程的准备,本文主要就是测试验证这个工程,其结果是产生一个oepngl 窗口,为opengl 画图,做好窗口设计。 本文参照 https://learnopengl.com/  和 https://learnopengl-cn.github.io/ 学习而来,包自己的学习体会和图示在内。在visual studio 2010下完成代码测试的。 ...
OpenGL入门教程
热门推荐
xiangzhihong8的专栏
12-03 11万+
概述 OpenGL OpenGL是渲染2D、3D矢量图形硬件的一种软件接口。本质上说,它是一个3D图形和模型库,具有高度的可移植性,且具有非常快的渲染速度。OpenGL不是一种语言,而是更像一个C运行时函数库。它提供了一些预包装的功能,帮助开发人员编写功能强大的三维应用程序。 OpenGL可以再多种操作系统平台上运行,例如各种版本的Windows、UNIX/Linux、Mac OS 和 OS/...
OpenGL绘制方式
Lce的专栏
10-30 1871
access表示对缓存对象的访问模式,通常是GL_MAP_INVALIDATE_RANGE_BIT,GL_MAP_INVALIDATE_BUFFER_BIT,GL_MAP_FLUSH_EXPLICIT_BIT,GL_MAP_UNSYNCHRONIZED_BIT中的一个或者多个组合,具体每个模式的定义参见OpenGL官方文档。access表示对缓存对象的访问模式,通常是GL_READ_ONLY(只读),GL_WRITE_ONLY(只写),GL_READ_WRITE(可读可写)中的一种。参数跟上面第6点一样。
OpenGL基础】|| OpenGL渲染过程介绍
专注GIS开发
05-19 8481
OpenGL基础】|| OpenGL渲染过程介绍
qt opengl 3d画图 代码下载
11-01
您可以从以下网址下载Qt OpenGL 3D绘图的代码:https://github.com/yourusername/yourrepositoryname 请注意,这个链接是一个示例链接,其中的“yourusername”和“yourrepositoryname”应替换为实际的用户名和存储库名称。在该存储库中,您可以找到包Qt OpenGL 3D绘图代码的源文件。下载提取存储库后,您可以在Qt集成开发环境(IDE)中打开项目,直接运行和调试代码。 要进行OpenGL 3D绘图,您需要安装Qt和相关的OpenGL库。确保在您的系统上安装了Qt和OpenGL支持。如果您还没有安装Qt和OpenGL支持,请访问Qt官方网站(https://www.qt.io/)下载和安装最新版本的Qt。 一旦您下载成功安装了Qt和OpenGL支持,您就可以通过点击IDE中的“打开项目”按钮,选择下载的代码所在的文件夹,点击“打开”来打开项目。然后,您可以使用IDE的构建和运行功能来编译和运行该代码。 在代码中,您将找到使用OpenGL库函数来创建3D图形的示例代码。您可以在代码中修改绘图参数,以创建自定义的3D绘图效果。此外,代码还包了用户交互的部分,您可以使用鼠标和键盘来控制和操作3D图形。 通过下载代码进行研究,您可以深入了解Qt和OpenGL在3D图形绘制方面的强大功能,根据自己的需求进行修改和扩展。祝你使用Qt OpenGL 3D绘图代码进行成功的工作!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值