知攻善防应急靶场二(linux)

已于 2024-04-08 09:09:10 修改
阅读量542 收藏 14
点赞数 4
文章标签: web安全
于 2024-03-21 17:13:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ka_ka11/article/details/136914552
版权

背景

前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!
挑战内容:
(1)提交攻击者IP192.168.20.1
(2)提交攻击者修改的管理员密码(明文)Network@2020
(3)提交第一次Webshell的连接URLPOST /index.php?user-app-register HTTP/1.1
(4)提交Webshell连接密码Network2020
(5)提交数据包的flag1{Network@_2020_Hack}
(6)提交攻击者使用的后续上传的木马文件名称version2.php
(7)提交攻击者隐藏的flag2
(8)提交攻击者隐藏的flag3

解题

首先,需要查看一下当前主机的用户登录情况,查看登录成功记录

[root@web-server ~]# grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'
/var/log/secure: 20 10:30:25 root 127.0.0.1
/var/log/secure:Mar 20 14:30:21 root 192.168.20.1
/var/log/secure:Mar 20 15:04:22 root 192.168.20.1
/var/log/secure
Mar 20 15:36:28 root 192.168.20.1
/var/log/secure:Mar 21 23:42:49 root 192.168.138.1
/var/log/secure:Mar 22 00:20:52 root 192.168.138.1
/var/log/secure:Mar 22 00:26:23 root 192.168.138.1
/var/log/secure:Apr 4 02:02:21 root 192.168.138.1
/var/log/secure:Apr 4 02:20:19 root 192.168.138.1
/var/log/secure-20240320:Mar 4 09:48:23 root 192.168.20.1
/var/log/secure-20240320:Mar 7 11:37:01 root 192.168.20.1
/var/log/secure-20240320:Mar 7 14:07:42 root 192.168.20.1
/var/log/secure-20240320:Mar 7 14:39:51 root 192.168.20.1
/var/log/secure-20240320:Mar 7 15:25:23 root 192.168.20.1
/var/log/secure-20240320:Mar 7 15:36:49 root 192.168.20.1
/var/log/secure-20240320:Mar 20 07:59:13 root 192.168.20.1

登录成功的ip地址,除了我的本机地址外,发现一个192.168.20.1

登录成功的时间为3月7日 3月20日

在机器的文件中发现一个数据包文件,下载该文件后使用wrishark打开文件

在数据包中发现第一个flag,追踪http流,发现第一个flag

flag1{Network@_2020_Hack}

除了访问上述文件,还访问了index.php?user-app-register和version2.php

同样的追踪数据流,发现蚁剑的特征

在其他的返回的响应包中,发现了返回的执行后的命令,查看当前目录的文件

使用http过滤数据包的第一个为第一次成功连接webshell

POST /index.php?user-app-register HTTP/1.1

同时猜测/www/wwwroot/127.0.0.1是网站的根目录

在最后一个数据包中发现上传蚁剑的流量

第二个问题是获得管理员的密码,在数据包中未发现,在服务器中寻找配置文件

/**接口加密设置**/
define('APIKEY','356d9abc2532ceb0945b615a922c3370');
define('APIIV','#phpems90iv*');
/**composer开关**/
define('COMPOSER',0);
/** 数据库设置 */
define('SQLDEBUG',0);
define('DB','kaoshi');//MYSQL数据库名
define('DH','127.0.0.1');//MYSQL主机名,不用改
define('DU','kaoshi');//MYSQL数据库用户名
define('DP','5Sx8mK5ieyLPb84m');//MYSQL数据库用户密码
define('DTH','x2_');//系统表前缀,不用改

/** 微信相关设置 */

发现数据库账号:kaoshi,数据库的密码,5Sx8mK5ieyLPb84m,登录数据库,查看登录

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| kaoshi             |
+--------------------+
2 rows in set (0.01 sec)

mysql> use kaoshi;
Database changed
mysql> show tables;
+---------------------+
| Tables_in_kaoshi    |
+---------------------+
|....省略          |
| x2_user             |
| x2_user_group       |
| x2_wxlogin          |
+---------------------+
61 rows in set (0.00 sec)

mysql>  select * from x2_user;
+--------+------------+-------------+-----------------+----------------+----------------------------------+----------+-------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+------------+------------+
| userid | useropenid | userunionid | username        | useremail      | userpassword                     | usercoin | userregip    useranswer | manager_apps                                                                                                                                                                                                                                             | userphoto                                               | userstatus | normal_sfz |
+--------+------------+-------------+-----------------+----------------+----------------------------------+----------+-------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+------------+------------+
|      1 |            | NULL        | peadmin         | 958074@163.com | f6f6eb5ace977d7e114377cc7098b7e3 |      279 | 127.0.0.1    NULL       | a:7:{i:0;s:4:"user";i:1;s:7:"content";i:2;s:4:"exam";i:3;s:8:"document";i:4;s:6:"course";i:5;s:4:"bank";i:6;s:8:"auto                                                                                                                                    | files/attach/images/content/20230802/16909740072788.jpg |          3 |            |
|      2 |            | NULL        | 教师管理员      | 958074@126.com | 96e79218965eb72c92a549dd5a330112 |       98 | 127.0.0.1    NULL       |                                                                                                                      i:2;s:1:"5";i:3;s:1:"4";i:4;s:1:"3";i:5;s:1:"1";i:6;s:1:"2";i:7;s:2:"17";i:8;s:2:"15";i:9;s:2:"16";i:10;s:2:"18";i:11;s:2:"19";i:12 |                                                         |          3 |            |
|      3 |            |             | zgsf            | zgsf@Admin.com | af0c68603004a1b5af4d87a71a813057 |        0 | 192.168.20.1            |                                                                                                                                                                                                                                                          |                                                         |          0 |            |
|      4 |            |             | zgsfAdmin       | zgsf@zgsf.com  | ed2b3e3ce2425550d8bfdea8b80cc89a |        0 | 192.168.20.1            |                                                                                                                                                                                                                                                          |                                                         |          0 |            |
+--------+------------+-------------+-----------------+----------------+----------------------------------+----------+-------------------------+----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+---------------------------------------------------------+------------+------------+
4 rows in set (0.02 sec)

发现用户peadmin和密码f6f6eb5ace977d7e114377cc7098b7e3,使用解密网站对系统进行解密Network@2020

剩余的flag在内网中寻找

使用history查看历史命令,发现在环境变量中写入了flag3,同时修改了alinotify.php

查看该文件进行了什么操作,发现最后一个flag

[root@web-server .api]# cat alinotify.php 
<?php
namespace PHPEMS;
/*
 * Created on 2013-12-26
 *
 * To change the template for this generated file go to
 * Window - Preferences - PHPeclipse - PHP - Code Templates
 */
 
define('PEPATH',dirname(dirname(__FILE__)));
class app
{
        public $G;
 
        public function __construct()
        {
 
 
                $this->ev = \PHPEMS\ginkgo::make('ev');
                $this->order = \PHPEMS\ginkgo::make('orders','bank');
        }
 
        public function run()
        {
                $alipay = \PHPEMS\ginkgo::make('alipay');
                $orderid = $this->ev->get('out_trade_no');
                $order = $this->order->getOrderById($orderid);
                $verify_result = $alipay->alinotify();
                if($verify_result)
                {
                        if($this->ev->get('trade_status') == 'TRADE_FINISHED' ||$this->ev->get('trade_status') == 'TRADE_SUCCESS')
                        {
                                if($order['orderstatus'] != 2)
                                {
                    $this->order->payforOrder($orderid,'alipay');
                                }
                                exit('sucess');
                        }
                        elseif($_POST['trade_status'] == 'WAIT_BUYER_PAY')
                        {
                                exit('fail');
                        }
                        else
                        {
                                exit('fail');
                        }
                }
                else
                {
                        exit('fail');
                }
        }
}
 
include PEPATH.'/lib/init.cls.php';
$app = new app(new ginkgo);
$app->run();
$flag2 = "flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}";
 
?>

ka_ka11
关注
  • 4
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
记一次linux服务器入侵应急响应(小结)
09-14
主要介绍了记一次linux服务器入侵应急响应,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
应急靶场(7):Linux2
最新发布
OneMoreThink
07-19 979
目录提交攻击者IPnginxbt-panel提交攻击者修改的管理员密码(明文)提交第一次Webshell的连接URL提交Webshell连接密码提交数据包的flag1提交攻击者使用的后续上传的木马文件名称提交攻击者隐藏的flag2提交攻击者隐藏的flag3下载好靶场应急响应靶机-Linux(2))并搭建好环境,使用帐号密码(root / Inch@957821.)登录靶机。一、提交攻击者IP本次...
Linux应急响应——知攻善防应急靶场-Linux(1)
本散修的一些学习心得与笔记,道友请自便。
06-23 961
Linux应急响应靶机 1 前景需要: 小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!! 挑战内容: 黑客的IP地址 遗留下的三个flag
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
知攻善防应急靶场-Linux(2)
m0_63138919的博客
03-24 1635
本文章参考qax的网络安全应急响应知攻善防实验室靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
知攻善防应急靶场-Linux(1)
m0_63138919的博客
03-24 1371
本文章参考qax的网络安全应急响应知攻善防实验室靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址.txt
04-21
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址,真实有效,亲测可用。
pikachu靶场环境
02-12
"pikachu靶场环境" 是一个专门为网络安全学习和实践设计的平台,它为用户提供了一个安全的、受控的环境来模拟真实的网络攻击与防御场景。在这个环境中,参与者可以学习和提升自己的渗透测试技巧,同时了解如何加固...
安全防护」我的一键 getshell 代码开发之路 - 攻防靶场.zip
11-27
该资料可能涵盖了 Linux 环境下的 getshell 技术,因为 Linux 作为服务器操作系统广泛使用,且通常涉及命令行交互。Firefox 可能被提及是因为浏览器安全,如插件漏洞,也可能成为 getshell 的入口。而安全分析则意味...
一次真实的应急响应案例——篡改页面、sysupdate、networkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
应急响应——靶场实践
热门推荐
weixin_46601374的博客
04-21 1万+
唉,我可算直到值守每天12小时看警报是多么怨种的一工作,本以为该结束了,结果又加了一天!!!! 还好我没放弃自己,一直在自学东西(也不是我愿意的,这也不是没有办法嘛,大家都太卷了) 那就自学了学应急响应。不得不说,大佬们是真好呀,我才在日报里说我刚过完应急响应的知识,梳理出流程,就有大佬给我发来了——三个靶场,够我挺过这难熬的两天了。 嘿嘿不能辜负大佬的期望,咱就好好表现吧 目录 先搭个靶场 应急响应的过程 排查网络连接 排查历史命令 排查后门账户 查看特权账户 ...
应急响应靶机-Linux(2)
tmyzxy1314的博客
06-26 851
本次应急响应靶机采用的是知攻善防实验室的Linux-2应急响应靶机靶机下载地址为:相关账户密码: root/Inch@957821.(记住要带最后的点.)
Linux应急响应流程及实战演练
纸房子
10-16 1374
【若侵权请联系删除】 本文作者:bypass(信安之路作者团队成员 &amp;amp; 个人公众号 bypass)当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 &amp;nbsp;常见的应急响应事件分类:web 入侵:网页挂马、主页篡改...
【护网急训】应急响应靶场集,24年想参加hvv的同学抓紧练习吧。
liguangyao213的博客
06-02 880
吉祥学安全除了包含技术干货:Java代码审计、web安全应急响应等,还包含了安全中常见的售前护网案例、售前方案、ppt等,同时也有面向学生的网络安全面试、护网面试等。护网中最重要的就是通过各类安全设备进行监控,过滤掉告警误报,进而发现真正的告警进行应急响应,减少扣分。我在之前的文章中已经写了应急中所需要的工具及技术点。为了方便大家把熟练使用这些工具,将这些应急知识点使用到实际护网中,今天整理了市面上常见的应急靶机(哪些准备参加24年护网的同学抓紧来联系下吧)。
Linux应急响应靶机 1
qq_48904485的博客
06-28 588
小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!挑战内容:黑客的IP地址遗留下的三个flag注意:该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。
实战Linux应急响应踩坑与深度反思(上)
技术超强的网络安全平台
05-19 752
实战Linux应急响应踩坑与深度反思 写在前面 随着近几年安全行业的兴起,攻击者的攻击手法也大不相同,在不经意间自己的服务器就给别人攻击了,面对这些情况我们如何做出处理显得至关重要,在应急响应的过程中我们遇到的情况可能,有的时候可能踩坑,对每一次应急响应做出反思,那么在以后的工作中就可能少踩坑,效率也会提高,下面将介绍一次对自己服务器应急踩坑事件、进行深刻反思并扩展知识,请勿喷我的低级错误。 挖矿应急响应分析 突然手机收到一条短信,直接给我搞蒙了,我的服务器给日了?心里有点慌,马上登录服务器查看。 ...
linux服务器应急响应靶场
09-12
Linux服务器应急响应靶场是一个模拟真实环境下的网络攻击和安全事件的训练场所。靶场通过构建一系列复杂的网络攻击场景,帮助安全团队和系统管理员提升应对攻击事件的能力,增强服务器应急响应的能力。 首先,靶场...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值