题目背景
杰克是某小学的网站开发者,同时也是运维人员
在某天,某攻击者通过旁站,成功攻击进入系统并留下后门
好在,杰克在系统中抓取了全程流量包,请你帮忙分析一下攻击者做了哪些操作
镜像链接
天翼云盘 珍藏美好生活 家庭云|网盘|文件备份|资源分享 (访问码:4ddz)
PS:杰克创建在流量包(result.pcap)在根目录下,请根据已有信息进行分析
系统信息
系统:ubuntu-22.10-desktop-amd64
Linux账号密码:security/P@ssw0rd
mysql账号密码:root/password
镜像扩展名:.OVF
攻击者使用的端口扫描工具是?
首先我们要找到Linux下面的日志文件在哪
一般情况下apache中间件的情况是在/var/log/apache2/access.log.1下面
所以我们直接就是cat access.log.1看看日志
这一大堆都是nmap的痕迹,那就确定了,用的nmap
通过流量及日志审计,攻击者上传shell的访问web的使用IP地址是多少?
将日志翻到底时发现了这样的请求
which nc
这个命令的意思是查询nc这个工具在哪,应该就是黑客在测试是否获得了权限,在数据包里面查询一下关键语句,看看是否执行成功
看样子是执行成功了,但是题目要求是看黑客访问web的时间,所以我们还需要再看
tail -fn 1000 access.log.1 |grep "uploads/admin.jpg"
可以看到这个访问了一次phpinfo,这个就是web界面的东西
所以这个192.168.150.1就是IP地址
审计流量日志,攻击者反弹shell的地址及端口?
这一题刚拿到手,我是一脸懵逼,不知道怎么办,但是一想可以查看上传码的包看看有没有什么线索
搜索关键字 uploads/admin(因为上传这个图片码的时候肯定是要显示这个图片马内的信息的,利用的时候就不会)
在这个包里面可以看到,反弹shell的接收IP地址是192.168.150.2:4444
攻击者使用的提权方式及工具是什么?
既然涉及到提权,那就得介绍一下另外一个日志了
auth.log 登录认证的信息记录
这个日志里有写登录用户的权限和登录方式,因为是网站服务器,所以最高权限应该是WWW-DATA
这个就好办了,我们直接在auth里面搜带有WWW-data的登录记录就好了
环境有问题搜不到,但是可以这么做
攻击者创建的新用户名是?
这个可以看看etc/group目录下面的东西
发现回显的东西有很多,但是这个很突出,他的优先级是1001,一般后面创建的用户都是1000开始的
而且这个用户的登陆时间和收到攻击时间差别并不大,相当于是刚创建没多久就开始攻击了,这个就是的
还有一个办法
那就是在home目录下面看一共有几个用户名
只有这俩
再看看securityy的创建时间
sudo passwd -S securityy
创建时间是8.18号
我们再看一下auth.log下面所有关于securityy的信息
PS:此环境有问题
攻击者将shell删除并放到了其他web目录,文件名被改变了,找出他的绝对路径及文件名
既然是web目录那就离不开WWW目录,我们直接在WWW目录底下搜<? eval 最大范围搜索看看有没有相关信息
呦,还真有
grep -r "<?php eval" -l /var/www/
-r 是查找的目标是文件夹并非文件
-l 是列出文件内容符合指定的范本样式的文件名称
/var/www/blog/.ShEllHAha/.hackba.php
攻击者使用新用户留下了木马进行不法行为,找出程序名,给出程序的绝对路径
到这里介绍一下crontab这个命令,这个是查找定时任务的
上面显示这个用户是没有相关的自动执行进程的,那就是在攻击者创建的用户下进行的
首先登录root用户,然后再执行
crontab -u securityy -l
这里是指定了用root来查询这个用户下面的所有定时进程任务
cat这个文件看看里面是什么
显示输出wakuang
那就是挖矿木马了
就是这个没错了