来打一下bugku的应急加固靶场,靶场链接:https://ctf.bugku.com/ctfplus/detail/id/2.html
1、JS劫持域名
直接访问ip地址,发现是xxx学院二手交易市场,随后被劫持跳转到了一个博客页面。
博客地址就是第一个flag(记得删掉最后的斜杠)。
2、黑客首次webshell密码
登录服务器,ps -ef 先看一下是什么中间件:
发现是nginx,查看 /var/log/nginx/access.log 文件
发现shell在 /var/www/html/public/Uploads/6127418cad73c.php 中
查看文件
提交flag成功。
3、黑客首次入侵方式
查看 /var/log/nginx/access.log 文件,上方木马恶意的IP为123.139.39.161,查找该恶意IP即可,前面一次是xss,后面是SQL注入,题目问的是首次攻击,所以填xss,注意需要小写。
4、黑客服务器的信息
查看系统进程,看是否存在可疑程序 ps -ef
看到有个 1.sh 很可疑,看一下具体内容
是个反弹 shell 的脚本,提交flag正确。
5、黑客的webshell2
通过腾讯的一个日志取证分析工具,可以帮助筛出可疑的webshell文件。下载链接
./LogForensics.pl -file /var/log/nginx/access.log -websvr nginx
执行后会生成两个文件,
打开 access.log.db 看到 1.php
在/var/www/html/public/static/img 路径下查看1.php,得到flag
6、MySQL
在 /var/www/html/application/database.php 中找到 mysql 账号密码,登录mysql。
查看mysql是否有文件写入权限:
SHOW VARIABLES LIKE "secure_file_priv"
可以看到my.cnf中的secure-file-priv值为空,也就是可以在服务器上随意写文件。
将secure-file-priv修改为NULL,重启mysql即可
/etc/init.d/mysql restart
方式二:回收用户的file权限并关闭全局日志功能,点击题目中的check按钮即可完成该题目。
revoke file on *.* from 'root'@'localhost'; #收回root用户的file权限
set global general_log = off; #关闭全局日志
flush privileges; #刷新权限
7、黑客添加的账号
查看 /etc/passwd ,发现有一个aman的账户
userdel -rf aman 删除账号,点击题目中的check按钮即可完成该题目。
8、黑客篡改的命令1,2
先去 /bin 目录看一下常用的命令,分别发现 ls、ps 命令存在问题。
经过cat后发现,ls和ps是冒牌货,ls2和ps_是正牌货
每执行一次 ls 命令就会重新写入一个webshell,也就是“不死马”。
执行下面命令将原始命令文件覆盖被恶意篡改的文件,然后删除 /var/www/html/public/static/img 目录下的webshell即可。
rm -rf ls
rm -rf ps
mv ls2 ls
mv ps_ ps
rm -rf /var/www/html/public/static/img/1.php
执行完毕后,点击题目中的check按钮即可完成该题目。
9、修复js劫持
由于访问网页会跳转,所以抓个包看看,发现有一段神秘代码
还原后如下,作用大概就是自动跳转到194nb的网站
在 /var/www/html 目录下利用如下命令查找含有js代码的文件
find . | xargs grep -ri '<script type="text/javascript">' -l | sort | uniq -c
解释:
发现在 /var/www/html/application/home/view/public/js.html 文件中含有恶意js代码
只需删除该文件内的恶意代码,check即可通关。
1437
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
