为啥是部分wp呢。。。还不是因为太菜了。。。
企业环境渗透
进去看到主页
搜索一下信息,发现有一个用户信息的文件
下载下来,几行没用的信息,随便点了几下,发现flag4
主页有一个文件上传的点,先不考虑,一般主页安全都做得比较好,最后再看
然后御剑扫一下
发现一个test目录,访问
又一个文件上传,这个测试安全防护可能比较差,写个一句话上传
上传点没有任何防护,上传成功
蚁剑连接
在根目录发现flag5
剩下的因水平问题没有做出来,当时比赛事用nmap扫描端口发现开放了ssh,3389远程桌面(系统为linux系统,不知道为啥有远程桌面,远程桌面跟ssh都是可以连接的,当时忘记准备爆破脚本跟密码所以没有使用),514端口,显示是shell,状态时filtered(nc直接连接失败),3306,mysql(不允许root远程登录)。
取证溯源
题目要求找到攻击者ip
/var/log/httpd找到第一个攻击者ip
发现web服务的日志中有一个ip一直在扫描,怀疑为攻击ip
192.168.31.150
又在/var/log/secure-20190805
发现有一个ip在爆破ssh
192.168.30.79
2.
发现在此之间web请求时间正常
在16:42:01这一秒中提交了十几次请求,非人力所及
所以怀疑是脚本
提交后趋势是攻击者开始扫描目录的时间
查看日志中的web请求,此时服务器的ip是192.168.12.255
确定该机器被攻击时ip为192.168.12.155
4.
分析日志,发现请求报文中username为admin,密码为admin123
5.
查看日志,由请求报文参数可知
关卡06
攻击者wenshell绝对路径
查看日志/var/log/httpd/*.log,利用grep过滤一下
在post处找到可疑信息
复制出来
解码发现几个参数
404.php和twentynineteen这个目录
经过对比,找到了/var/www/html/wordpress/wp-content/themes/twentynineteen/404.php
在里面没有发现一句话,尝试提交一下,正确
关卡07
webshell中写入的一句话木马
使用的一句话就在上面的图中,刚才就已经找到了