玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

admin 2024年9月24日12:45:14评论68 views字数 1502阅读5分0秒阅读模式

EDI

JOIN US ▶▶▶

招新

EDI安全的CTF战队经常参与各大CTF比赛,了解CTF赛事。

欢迎各位师傅加入EDI,大家一起打CTF,一起进步。(诚招web re crypto pwn misc方向的师傅)有意向的师傅请联系邮箱root@edisec.net、shiyi@edisec.net(带上自己的简历,简历内容包括但不限于就读学校、个人ID、擅长技术方向、历史参与比赛成绩等等。

点击蓝字 ·  关注我们

01

题目

请你登录服务器结合数据包附件来分析黑客的入侵行为
用户名:root
密码:toor
SSH连接:ssh root@ip -p222

1

黑客的IP是什么

过滤http发现192.168.31.190对192.168.31.168有扫描

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

然后使用PUT协议上传了hello.jsp

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

flag{192.168.31.190}

2

黑客通过什么漏洞进入服务器的(提交cve编号)

搜索一下tomcat put协议上传漏洞就能得到漏洞CVE编号

flag{CVE-2017-12615}

3

黑客上传的木马文件名是什么?(提交文件名)

flag{hello.jsp}

4

黑客上传的木马连接密码是什么?

通过流量中的传参数得到是7f0e6f

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

也可以从hello.jsp里看到

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

flag{7f0e6f}

5

黑客上传的木马解密密码是什么?

格式化代码在15行可以看到用来加密的key是xc得到1710acba6220f62b

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

flag{1710acba6220f62b}

6

黑客连接webshell后执行的第一条命令是什么?

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

得到内容返回结果是4.19.0-25-amd64

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

flag{uname -r}

7

黑客连接webshell时查询当前shell的权限是什么?

继续查看流量,发现执行了id命令

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

    命令执行结果为root

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

flag{root}

8

黑客利用webshell执行命令查询服务器Linux系统发行版本是什么?

这里使用cat /etc/os-release命令查看了系统发行版本

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

得到结果

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

flag{Debian GNU/Linux 10 (buster)}

9

黑客利用webshell执行命令还查询并过滤了什么?(提交整条执行成功的命令)

这里执行了rpm -qa | grep pam

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

但是并没有执行成功

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

然后执行了dpkg -l libpam-modules:amd64

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

执行成功得到pam版本

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

flag{dpkg -l libpam-modules:amd64}

10

黑客留下后门的反连的IP和PORT是什么?(IP:PORT)

echo 了一个base64数据并执行

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

解密得到ip port

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

flag{192.168.31.143:1313}

11

黑客通过什么文件留下了后门?

继续解密流量发现上传了一个pam_unix.so文件到/tmp/下

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

flag{pam_unix.so}

12

黑客设置的后门密码是什么?

ssh查看服务器history得到将/tmp/pam_unix.so复制到了/lib/x86_64-linux-gnu/security/pam_unix.so

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

将pam_unix.so文件下载下来ida打开分析查看函数pam_sm_authenticate 这个函数是用来控制认证的,pam后门常常放在这里。

使用strcmp判断如果密码是XJ@123就登录成功

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

flag{XJ@123}

13

黑客的恶意dnslog服务器地址是什么?

将登陆成功的用户和密码使用dnslog发送到服务器

flag{c0ee2ad2d8.ipv6.xxx.eu.org.}

EDI安全

玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

扫二维码|关注我们

一个专注渗透实战经验分享的公众号

原文始发于微信公众号(EDI安全):玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月24日12:45:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐https://cn-sec.com/archives/3202241.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息