应急响应 - Linux2 - 练习篇

admin

138635
文章

114
评论

2024年12月18日22:03:03评论18 views字数 2617阅读8分43秒阅读模式

前景需要：看监控的时候发现webshell告警，领导让你上机检查你可以救救安服仔吗！！

相关账户密码：

root/Inch@957821.

开机开搞

1,提交攻击者IP

192.168.20.1

2,提交攻击者修改的管理员密码(明文)

Network@2020

3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)

index.php?user-app-register

3,提交Webshell连接密码

Network2020

4,提交数据包的flag1

flag1{Network@_2020_Hack}

5,提交攻击者使用的后续上传的木马文件名称

version2.php

6,提交攻击者隐藏的flag2

flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

7,提交攻击者隐藏的flag3

flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

解题思路+溯源分析

用vm启动虚拟机我觉得分辨率太小了，我这里用ssh远程，界面不一样望周知，开机输入账号密码，我直接用kali扫一下它的IP

144开了ssh的服务，我直接用Windows的命令行连上看

查看历史命令

history

保存历史命令，查看历史命令，过滤flag

history > 1.txt | cat 1.txt | grep flag

找到flag3: flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

查看历史命令看看都做了什么

下载了宝塔面板，查看宝塔服务器日志

bt

我们不知道宝塔面板的密码，所以需要修改密码

改完密码登录一下宝塔面板

我们登录的是内网的网址，浏览器访问一下

登录成功

查看宝塔日志，看到192.168.20.1这个IP给服务器发送了大量的post请求看这个页面目录应该是在暴力破解，找到攻击者IP

看到这个网站的数据库，登录一下看看

查看数据库表，看到有user表查看一下

看到管理员账户和密码，但是密码有加密f6f6eb5ace977d7e114377cc7098b7e3

这种格式像md5的加密格式，拿去在线解密

MD5 哈希特点：固定长度输出：无论输入数据多大，MD5 始终生成一个 32 位的十六进制数字（如 f6f6eb5ace977d7e114377cc7098b7e3）。单向性：MD5 是单向的哈希算法，意味着从哈希值无法直接恢复原始数据（尽管通过暴力破解等方法，哈希值可能会被还原成原始数据，尤其是在原始数据较为简单时）。广泛使用：虽然 MD5 曾经广泛用于密码存储、文件验证等，但由于它存在碰撞问题（即不同输入可能产生相同的哈希值），在安全性要求较高的场合，已逐渐被 SHA-256 等更安全的哈希算法取代。

得到密码 Network@2020 拿到账号和密码登录一下网站,因为这个宝塔面板网页的默认域名是20的网段，我们要添加一个自己NAT网段的才能成功访问

我们用上面数据库里面的管理员账户和密码登录一下peadmin/Network@2020

成功登录，到处看看，在个人中心看到后台管理进去翻翻

进去之后我看到有一个文件，猜测是文件上传，点进去看了没什么东西

继续一个一个翻，在内容里面看到一句话木马

位置在注册页面，退出去看一下注册页面的url：index.php?user-app-register

推测出黑客通过修改注册页面的协议标签反弹一句话木马，一句话木马的密码是Network2020 把流量包导出来分析一下，用MobaXterm远程ssh连接把流量包拖出来

打开数据包开始做流量分析，题目里提到flag，直接 ctrl+f 搜一下flag

追踪流

拿到flag1{Network@_2020_Hack}攻击者还上传了别的文件，过滤一下http的流量包看看

这里看到前面一直访问的是index.php,后面突然出现了version.php追踪流看一下

第一个文件

第二个文件

经典的冰蝎特征

固定请求头和响应头冰蝎的固定请求头特征为：dFAXQV1LORcHRQtLRlwMAhwFTAg/M，固定的响应头特征为：TxcWR1NNExZAD0ZaAWMIPAZjH1BFBFtHThcJSlUXWEd。长连接特征冰蝎通讯默认使用长连接，默认情况下，请求头和响应头里会带有 Connection: Keep-Alive，这可以作为辅助流量特征。GET 请求特征在每一次连接时都能看到一个 GET 请求 ?pass=[XXX] 的数据（XXX 均为数字），且均会产生一个 16 位的随机数密钥（第二个为密钥）。Content-Length 通常为 16。请求体特征JSP 类型 的 webshell，POST 请求体数据均为 Base64 编码，Content-Type 为 application/octet-stream，响应体数据均为二进制文件。执行 JSP webshell，一般较短的命令 Content-Length 都是 9068。Pragma 和 Cache-Control请求头中有 Pragma: no-cache，Cache-Control: no-cache。这些头部字段可以作为进一步识别冰蝎流量的特征。

第二个成功回连，第二个确认是冰蝎木马version2.php，到这里就找完了，隐藏的flag我在数据包里面没找到，那应该是我漏了什么地方，再回去看一下历史命令

在历史命令里面找一下修改的命令，应该是藏在一些配置文件里面了

cat 1.txt | grep vi

我直接一个一个文件翻，一共才这么几个文件

find / | grep alinotify.php  在根目录查找alinotify.php文件cat /www/wwwroot/127.0.0.1/.api/alinotify.php | grep flag  查看alinotify.php文件过滤出flag

拿到flag2：flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

到这里就解完了,运行题解./wp

溯源分析

黑客找到服务器的web页面看到登录框，于是进行了暴力破解，进入系统之后通过修改管理员密码，登录了管理员账户，然后修改了注册协议用一句话木马拿到了webshell，拿到webshell后通过上传冰蝎后门拿到系统shell

原文始发于微信公众号（信安一把索）：应急响应 - Linux2 - 练习篇

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

应急响应 - Linux2 - 练习篇

啊？谁把我黑了？？（一）

撕开安全假象：一场无限逼近真实的勒索演练

【应急响应】某变异Webshell流量分析（玄机靶场）

流量分析 - 测试篇

【应急响应】Linux入侵排查思路

应急响应-Linux日志分析

网络安全应急响应全流程

真假finalshell-仿冒木马钓鱼溯源小记

我来溯源弱口令引发的黑客组织

网络攻防之网络迷踪：图片溯源合集（一）

发表评论

在线咨询

微信