应急靶场(7):Linux2

admin 2024年7月19日09:13:30评论85 views字数 3241阅读10分48秒阅读模式

目录

  1. 提交攻击者IP
    1. nginx
    2. bt-panel
  2. 提交攻击者修改的管理员密码(明文)
  3. 提交第一次Webshell的连接URL
  4. 提交Webshell连接密码
  5. 提交数据包的flag1
  6. 提交攻击者使用的后续上传的木马文件名称
  7. 提交攻击者隐藏的flag2
  8. 提交攻击者隐藏的flag3

下载好靶场(应急响应靶机-Linux(2))并搭建好环境,使用帐号密码(root / Inch@957821.)登录靶机。

一、提交攻击者IP

本次应急的背景,是监控到了webshell告警,需要上机排查。因此首先需要定位web应用,再定位web日志,才能排查攻击者IP。使用命令netstat -tunlap查看网络进程,暴露面还挺大,其中web应用的进程有PID是1213端口是80和888的nginx,以及PID是2201端口是12485的bt-panel。

应急靶场(7):Linux2

1.1、nginx

先排查nginx的web日志,使用命令lsof -p 1213 | grep log查看nginx打开的文件,并筛选日志文件,发现nginx的日志文件在/www/wwwlogs/目录下。

使用命令ls -laS /www/wwwlogs/按文件大小排序,定位到web日志文件access.log和127.0.0.1.log。

应急靶场(7):Linux2

使用cat /www/wwwlogs/access.log | cut -d ' ' -f 1 | sort | uniq -c | sort -n等命令,分别查看两份日志文件,发现IP地址192.168.20.1和192.168.20.131。

使用cat /www/wwwlogs/access.log | grep 192.168.20.1 | cut -d ' ' -f 7 | grep -v "js|css|img" | less等命令,分别查看两个IP地址访问的URL路径。

应急靶场(7):Linux2

access.log记录的192.168.20.1访问的URL路径,没有明显攻击行为。

应急靶场(7):Linux2

127.0.0.1.log记录的192.168.20.1访问的URL路径,存在明显攻击行为。

应急靶场(7):Linux2

127.0.0.1.log记录的192.168.20.131访问的URL路径,存在明显攻击行为。

应急靶场(7):Linux2

但是最终题目的答案只是192.168.20.1,没有192.168.20.131,感觉不太准确。

1.2、bt-panel

再排查bt-panel的web日志,使用命令ls -l /proc/2201/exe查看bt-panel的程序路径,定位到bt-panel部署在/www/server/panel/路径下。

使用命令find /www/server/panel/ -name *log 2>/dev/null定位到日志文件存放在/www/server/panel/logs/路径下。

使用命令ls -laS /www/server/panel/logs/按文件大小排序,并未发现web日志文件。逐个查看这些日志文件,也未发现入侵行为。

应急靶场(7):Linux2

二、提交攻击者修改的管理员密码(明文)

既然攻击者攻击的是nginx上的web应用,那么这个管理员密码应该就是指nginx上web应用的管理员密码。

日志层面,web应用一般不会记录xx用户将密码修改成了xx,顶多记录xx用户修改了密码。因此想要查看攻击者修改后的管理员密码,需要登录数据库查看。

这里选择通过宝塔面板的管理后台,登录nginx上web应用的数据库,查看被攻击者修改后的管理员密码。使用命令bt并选择5修改宝塔面板管理后台的密码,然后使用命令bt default获得宝塔面板管理后台的登录地址。

应急靶场(7):Linux2

登录宝塔面板后找到nginx的web应用的数据库,点击管理进入phpMyAdmin。

应急靶场(7):Linux2

既然是查找用户的密码,那就搜索user关键字相关的表。在x2_user_group表中,得知groupid是1代表管理员组。

应急靶场(7):Linux2

在x2_user表中,通过usergroupid是1,得知peadmin是管理员,密码哈希是:f6f6eb5ace977d7e114377cc7098b7e3。

应急靶场(7):Linux2

对密码哈希进行解密后,获得管理员peadmin的密码:Network@2020。

应急靶场(7):Linux2

三、提交第一次Webshell的连接URL

使用命令cat /www/wwwlogs/127.0.0.1.log | grep 192.168 | cut -d ' ' -f 6,7 | sort | uniq -c | sort -nr | head查看攻击者访问的URL地址,发现访问最多是/index.php?user-app-register,其次是/version2.php。

应急靶场(7):Linux2

/version2.php不像是正常业务会提供的URL地址,使用命令cat /www/wwwlogs/127.0.0.1.log | grep 192.168 | cut -d ' ' -f 6,7 | uniq -c | grep -C 10 version2.php 查看攻击者访问/version2.php时的情况,发现攻击者大量访问/version2.php前,先大量访问了/index.php?user-app-register。

应急靶场(7):Linux2

在Wireshark中使用语法http.request.uri contains version2.php查看攻击者访问/version2.php的情况,发现请求体和响应体都是经过编码的内容,疑似加密通信隧道。

应急靶场(7):Linux2

在Wireshark中使用语法http.request.uri contains index.php?user-app-register 查看攻击者访问/index.php?user-app-register的情况,发现请求体和响应体都是经过编码的内容,意思webshell通信。

应急靶场(7):Linux2

问了下GPT,也说是webshell。

应急靶场(7):Linux2

由此判断,/index.php?user-app-register是攻击者首先使用的webshell,/version2.php是攻击者后续使用的后门木马。

四、提交Webshell连接密码

查看/version2.php的通信内容,可知Network2020是webshell的连接密码。

应急靶场(7):Linux2

五、提交数据包的flag1

使用命令cat /www/wwwlogs/127.0.0.1.log | grep 192.168. | cut -d ' ' -f 7 | uniq -c | less查看攻击者访问的URL情况。

应急靶场(7):Linux2

发现攻击者访问过/flag1这个文件。

应急靶场(7):Linux2

但是web路径下并没有flag1文件,后续查看history得知是被删了。

应急靶场(7):Linux2

从服务器下载数据包“/root/数据包1.pcapng”到本机,打开Wireshark使用语法http.request.uri contains flag1搜索攻击者访问的flag1文件,并追踪流获得flag1文件的内容:flag1{Network@_2020_Hack}。

应急靶场(7):Linux2

六、提交攻击者使用的后续上传的木马文件名称

在第3题时,已经确认后续上传的木马文件名称是:version2.php。

应急靶场(7):Linux2

七、提交攻击者隐藏的flag2

使用命令history | grep vi查看历史命令,并通过grep vi筛选编辑过的文件,发现以下被编辑过的文件值得关注:.api、mpnotify.php、alinotify.php、/etc/profile。

应急靶场(7):Linux2

使用find / -name .api 2>/dev/null等命令查看文件路径,再使用less /www/wwwroot/127.0.0.1/.api等命令查看文件内容。

应急靶场(7):Linux2

最终在/www/wwwroot/127.0.0.1/.api/alinotify.php文件发现flag2:flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}。

应急靶场(7):Linux2

八、提交攻击者隐藏的flag3

使用命令less /etc/profile查看题目7发现的被编辑过的/etc/profile文件,发现flag3:flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}。

应急靶场(7):Linux2

使用命令history查看历史命令,同样获得flag3。

应急靶场(7):Linux2

原文始发于微信公众号(OneMoreThink):应急靶场(7):Linux2

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月19日09:13:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急靶场(7):Linux2https://cn-sec.com/archives/2972534.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息