应急靶场(7):Linux2

于 2024-07-19 00:00:29 发布
阅读量500 收藏 9
点赞数 9
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53721197/article/details/140538186
版权

目录

  1. 提交攻击者IP

    1. nginx

    2. bt-panel

  2. 提交攻击者修改的管理员密码(明文)

  3. 提交第一次Webshell的连接URL

  4. 提交Webshell连接密码

  5. 提交数据包的flag1

  6. 提交攻击者使用的后续上传的木马文件名称

  7. 提交攻击者隐藏的flag2

  8. 提交攻击者隐藏的flag3

下载好靶场(应急响应靶机-Linux(2))并搭建好环境,使用帐号密码(root / Inch@957821.)登录靶机。

一、提交攻击者IP

本次应急的背景,是监控到了webshell告警,需要上机排查。因此首先需要定位web应用,再定位web日志,才能排查攻击者IP。使用命令netstat -tunlap查看网络进程,暴露面还挺大,其中web应用的进程有PID是1213端口是80和888的nginx,以及PID是2201端口是12485的bt-panel。

9c78306fbbbfccf5ef2265390e16e852.png

1.1、nginx

先排查nginx的web日志,使用命令lsof -p 1213 | grep log查看nginx打开的文件,并筛选日志文件,发现nginx的日志文件在/www/wwwlogs/目录下。

使用命令ls -laS /www/wwwlogs/按文件大小排序,定位到web日志文件access.log和127.0.0.1.log。

aae3e0d41362784e4fb6120c91e588b2.png

使用cat /www/wwwlogs/access.log | cut -d ' ' -f 1 | sort | uniq -c | sort -n等命令,分别查看两份日志文件,发现IP地址192.168.20.1和192.168.20.131。

使用cat /www/wwwlogs/access.log | grep 192.168.20.1 | cut -d ' ' -f 7 | grep -v "js\|css\|img" | less等命令,分别查看两个IP地址访问的URL路径。

75c3e5df53f1098e483756492edf7bfa.png

access.log记录的192.168.20.1访问的URL路径,没有明显攻击行为。

4d2cda843cb57c00b8842a1cea5b38ea.png

127.0.0.1.log记录的192.168.20.1访问的URL路径,存在明显攻击行为。

0bbcff40e6ca8b1520c5cb78ff604a13.png

127.0.0.1.log记录的192.168.20.131访问的URL路径,存在明显攻击行为。

8698bcaed33ed4bff14277255f0e4a71.png

但是最终题目的答案只是192.168.20.1,没有192.168.20.131,感觉不太准确。

1.2、bt-panel

再排查bt-panel的web日志,使用命令ls -l /proc/2201/exe查看bt-panel的程序路径,定位到bt-panel部署在/www/server/panel/路径下。

使用命令find /www/server/panel/ -name *log 2>/dev/null定位到日志文件存放在/www/server/panel/logs/路径下。

使用命令ls -laS /www/server/panel/logs/按文件大小排序,并未发现web日志文件。逐个查看这些日志文件,也未发现入侵行为。

d0a04b131a452940d05e3d74b8f57d96.png

二、提交攻击者修改的管理员密码(明文)

既然攻击者攻击的是nginx上的web应用,那么这个管理员密码应该就是指nginx上web应用的管理员密码。

日志层面,web应用一般不会记录xx用户将密码修改成了xx,顶多记录xx用户修改了密码。因此想要查看攻击者修改后的管理员密码,需要登录数据库查看。

这里选择通过宝塔面板的管理后台,登录nginx上web应用的数据库,查看被攻击者修改后的管理员密码。使用命令bt并选择5修改宝塔面板管理后台的密码,然后使用命令bt default获得宝塔面板管理后台的登录地址。

57202e83b661f82a76baaebf571c0010.png

登录宝塔面板后找到nginx的web应用的数据库,点击管理进入phpMyAdmin。

a2f27dfecfa2fd8dbb798399a39578b7.png

既然是查找用户的密码,那就搜索user关键字相关的表。在x2_user_group表中,得知groupid是1代表管理员组。

f7d1bf31a352a6dace90c8ca52cd4096.png

在x2_user表中,通过usergroupid是1,得知peadmin是管理员,密码哈希是:f6f6eb5ace977d7e114377cc7098b7e3。

e749c639c4f7fb45616f8fa6d095fd31.png

对密码哈希进行解密后,获得管理员peadmin的密码:Network@2020。

9c670e4352e809f4e046b627c4510477.png

三、提交第一次Webshell的连接URL

使用命令cat /www/wwwlogs/127.0.0.1.log | grep 192.168 | cut -d ' ' -f 6,7 | sort | uniq -c | sort -nr | head查看攻击者访问的URL地址,发现访问最多是/index.php?user-app-register,其次是/version2.php。

d8e85ad317db1667b175963937606c35.png

/version2.php不像是正常业务会提供的URL地址,使用命令cat /www/wwwlogs/127.0.0.1.log | grep 192.168 | cut -d ' ' -f 6,7 | uniq -c | grep -C 10 version2.php 查看攻击者访问/version2.php时的情况,发现攻击者大量访问/version2.php前,先大量访问了/index.php?user-app-register。

a856ead31232ef2c3692a9dea64d8c7b.png

在Wireshark中使用语法http.request.uri contains version2.php查看攻击者访问/version2.php的情况,发现请求体和响应体都是经过编码的内容,疑似加密通信隧道。

bbb02b7c2f12ee717de33977c36c2ab0.png

在Wireshark中使用语法http.request.uri contains index.php?user-app-register 查看攻击者访问/index.php?user-app-register的情况,发现请求体和响应体都是经过编码的内容,意思webshell通信。

a088b40a4d30a11d0ad8c555a724b853.png

问了下GPT,也说是webshell。

64ab7f10cbeed69c0cb4dc5c61704a35.png

由此判断,/index.php?user-app-register是攻击者首先使用的webshell,/version2.php是攻击者后续使用的后门木马。

四、提交Webshell连接密码

查看/version2.php的通信内容,可知Network2020是webshell的连接密码。

14c56abb2e559d2a5c74242df96066f2.png

五、提交数据包的flag1

使用命令cat /www/wwwlogs/127.0.0.1.log | grep 192.168. | cut -d ' ' -f 7 | uniq -c | less查看攻击者访问的URL情况。

4d7577a29f65c2a55b4f3b1761f76a48.png

发现攻击者访问过/flag1这个文件。

7c3fa21ebf2b89ab1eee901fc21ceac9.png

但是web路径下并没有flag1文件,后续查看history得知是被删了。

a08e2c06fd48252ee107c2dc47f33408.png

从服务器下载数据包“/root/数据包1.pcapng”到本机,打开Wireshark使用语法http.request.uri contains flag1搜索攻击者访问的flag1文件,并追踪流获得flag1文件的内容:flag1{Network@_2020_Hack}。

ff539fafabc0f48e26b1892e74341aba.png

六、提交攻击者使用的后续上传的木马文件名称

在第3题时,已经确认后续上传的木马文件名称是:version2.php。

7b3b4dbf03a86daefa9402161ee79d3f.png

七、提交攻击者隐藏的flag2

使用命令history | grep vi查看历史命令,并通过grep vi筛选编辑过的文件,发现以下被编辑过的文件值得关注:.api、mpnotify.php、alinotify.php、/etc/profile。

6bd5fdd842e9154bd4aac9937d2351ab.png

使用find / -name .api 2>/dev/null等命令查看文件路径,再使用less /www/wwwroot/127.0.0.1/.api等命令查看文件内容。

63e6174938f87e1355a3cd27f1f72661.png

最终在/www/wwwroot/127.0.0.1/.api/alinotify.php文件发现flag2:flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}。

5930656b0cf5026203e40d49be9f102d.png

八、提交攻击者隐藏的flag3

使用命令less /etc/profile查看题目7发现的被编辑过的/etc/profile文件,发现flag3:flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}。

ea1940ad595423f593275f1f24c5fab1.png

使用命令history查看历史命令,同样获得flag3。

22c6294d0e402c40515e63556b82b133.png

OneMoreThink
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记一次linux服务器入侵应急响应(小结)
09-14
主要介绍了记一次linux服务器入侵应急响应,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
【2023年全国职业技能大赛“信息安全与评估”赛项】任务4-Linux内存取证WP+靶场环境
04-20
2. **进程分析**:使用Volatility识别内存中的进程,查找异常或隐藏的进程,这些可能是恶意软件的活动迹象。 3. **网络活动**:分析内存中的网络连接信息,寻找未经授权的通信或数据泄漏。 4. **文件系统镜像**:...
应急靶场(6):Linux1
最新发布
OneMoreThink
07-18 223
目录黑客的IP地址遗留下的三个flag第一个flag第二个flag第三个flag下载好靶场应急响应靶机-Linux(1))并搭建好环境,使用帐号密码(defend / defend)登录靶机,然后使用su root命令和帐号密码(root / defend)切换到root用户。一、黑客的IP地址使用命令cat /var/log/secure | grep Failed | cut -d ' ' ...
知攻善防应急靶场-Linux(1)
m0_63138919的博客
03-24 1309
本文章参考qax的网络安全应急响应和知攻善防实验室靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
知攻善防应急靶场二(linux
ka_ka11的博客
03-21 515
前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!
Linux应急响应——知攻善防应急靶场-Linux(1)
本散修的一些学习心得与笔记,道友请自便。
06-23 894
Linux应急响应靶机 1 前景需要: 小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!! 挑战内容: 黑客的IP地址 遗留下的三个flag
知攻善防应急靶场-Linux(2)
m0_63138919的博客
03-24 1498
本文章参考qax的网络安全应急响应和知攻善防实验室靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
应急响应之linux 排查
网络安全
06-29 851
有招聘需求的可以后台联系运营人员。最近发现一个不错的在线靶场,给大家推荐一下。 玄机靶场地址:https://xj.edisec.net/第一章 应急响应- Linux入侵排查1.web目录存在木马,请找到木马的密码提交 2.服务器疑似存在不死马,请找到不死马的密码提交 3.不死马是通过哪个文件生成的,请提交文件名 4.黑客留下了木马文件,请找出黑客的服务器ip提交 5.黑客留下了木马...
【护网急训】应急响应靶场集,24年想参加hvv的同学抓紧练习吧。
liguangyao213的博客
06-02 827
吉祥学安全除了包含技术干货:Java代码审计、web安全、应急响应等,还包含了安全中常见的售前护网案例、售前方案、ppt等,同时也有面向学生的网络安全面试、护网面试等。护网中最重要的就是通过各类安全设备进行监控,过滤掉告警误报,进而发现真正的告警进行应急响应,减少扣分。我在之前的文章中已经写了应急中所需要的工具及技术点。为了方便大家把熟练使用这些工具,将这些应急知识点使用到实际护网中,今天整理了市面上常见的应急靶机(哪些准备参加24年护网的同学抓紧来联系下吧)。
应急响应靶机-Linux(1)
tmyzxy1314的博客
06-27 459
先找到的三个flag,最后才找的ip地址所以麻烦各位读者先从下面开始看起!!!ip地址也是看了wp才知道接着flag第三题的过程看一眼,redis日志文件等级cat /etc/redis.conf | grep loglevel整个命令cat /etc/redis.conf | grep loglevel的作用是显示/etc/redis.conf文件中所有包含“loglevel”的行,这通常用于快速查找和查看Redis配置文件中关于日志级别的设置为loglevel verbose级别直接去找redis日志文
玄机靶场 第一章 应急响应- Linux入侵排查
qq_46343633的博客
06-04 1004
1.web目录存在木马,请找到木马的密码提交2.服务器疑似存在不死马,请找到不死马的密码提交3.不死马是通过哪个文件生成的,请提交文件名4.黑客留下了木马文件,请找出黑客的服务器ip提交5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交。
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址.txt
04-21
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址,真实有效,亲测可用。
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
pikachu靶场环境
02-12
2. **网络协议分析**:掌握TCP/IP协议栈的基本知识,学会使用工具如Wireshark进行网络封包捕获和分析,理解数据在网络中的传输过程。 3. **操作系统安全**:了解不同操作系统(如Linux、Windows)的安全特性,学习...
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 796
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 948
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 770
计算机网络技术期末复习
CWPIN21的博客
07-17 1012
本文深入探讨了计算机网络的核心概念与关键技术。涵盖了网络拓扑结构,如星型、总线型和环形等,分析了它们的特点与适用场景。详细阐述了 TCP/IP 协议栈的工作原理,包括 IP 地址分配、子网掩码的作用以及路由选择算法。还探讨了网络安全方面的常见威胁,如病毒、黑客攻击等,并介绍了相应的防护措施。通过实例,让读者对计算机网络有更全面、深入的理解。
linux服务器应急响应靶场
09-12
Linux服务器应急响应靶场是一个模拟真实环境下的网络攻击和安全事件的训练场所。靶场通过构建一系列复杂的网络攻击场景,帮助安全团队和系统管理员提升应对攻击事件的能力,增强服务器应急响应的能力。 首先,靶场可以提供各种类型的漏洞和安全事件,包括网络入侵、恶意代码传播、黑客攻击等。参与者可以在模拟网络环境中面对这些攻击,并学习如何快速识别和应对。该过程可以提供丰富的实践经验,以及对恶意行为的理解。 其次,靶场为参与者提供了一个安全的环境,在不会影响正式网络的前提下,尝试各种应急响应策略和工具。通过实践,可以了解,并纠正自身在应对攻击事件时可能存在的漏洞。同时,由于是靶场环境,不论是成功还是失败,都没有真实环境中的风险。 最后,靶场为安全团队提供了一个协同工作的平台。通过在实际的靶场中进行协作,团队成员可以共同面对攻击,共享经验,提高团队协作和响应能力。通过实战环境的训练,可以更好地锻炼团队的配合能力。 总之,Linux服务器应急响应靶场是一种非常有用的培训和演练工具。通过参与靶场培训,安全团队和系统管理员可以有效提升应急响应的能力,更好地保护服务器和网络的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值