文章描述了一次黑客攻击事件,黑客利用JWT认证的漏洞,通过篡改id和username(如10087#admin)绕过验证。在获得webshell后,黑客获得了root权限。黑客上传了一个名为1.c的恶意C源代码文件,并在服务器上编译为looter.so动态链接库。最后,黑客修改了/etc/pam.d/common-auth配置文件,可能植入了恶意代码。
目录
问(1):
该网站使用了(jwt)认证方式。(如果有字母请全部使用小写)
追踪http流时发现token
解码后可以看到该网站使用了JWT认证方式
问(2):
黑客绕过验证使用的jwt中,id和username是(10087#admin)。(中间使用#隔开,例如1#admin)
前面所解码的id:10086是不对的,要往下继续追踪,真正的id为10087
解码得到id和用户名
问(3):
黑客获取webshell之后,权限是(root)
搜索whoami,可以看到命令执行了,所以为root权限
问(4):
黑客上传的恶意文件文件名是(1.c)。(请提交带有文件后缀的文件名,例如x.txt)
过滤请求方式为POST的流量包,可以看到base64上传的文件
将其值复制解码可以发现是个.c文件,并且保存为了/tmp下的1.c文件
问(5):
黑客在服务器上编译的恶意so文件,文件名是(looter.so)。(请提交带有文件后缀的文件名,例如x.so)
继续往下分析,过滤请求方式为POST的流量包,发现黑客将文件编译为looter.so文件
问(6):
黑客在服务器上修改了一个配置文件,文件的绝对路径为(/etc/pam.d/common-auth)。(请确认绝对路径后再提交)
继续分析过滤出的数据包,发现编译好的恶意文件looter.so文件被导向/etc/pam.d/common-auth路径
5931
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
