一次HTB的取证之旅

admin 2021年12月9日21:20:39评论177 views字数 1200阅读4分0秒阅读模式

记录一次HTB的取证旅途

本来想着学习wireshark技巧,在htb逛的时候发现一个叫做obscure靶场,感觉有意思就开干。

靶场的描述如下:


CHALLENGE DESCRIPTIONAn attacker has found a vulnerability in our web server that allows arbitrary PHP file upload in our Apache server. Suchlike, the hacker has uploaded a what seems to be like an obfuscated shell (support.php). We monitor our network 24/7 and generate logs from tcpdump (we provided the log file for the period of two minutes before we terminated the HTTP service for investigation), however, we need your help in analyzing and identifying commands the attacker wrote to understand what was compromised.


大概意思是有个webshell,然后是执行过什么什么命令,把里面的flag提取出来。

一次HTB的取证之旅

下载下来一共有三个文档,to-do.txt内容是上述目标,supoort.php是webshell文件,pcap就是攻击事件的包


打开pcap包,知道攻击事件是主机收到webshell攻击,我们可以通过在wires hark中[统计]—>[http]—>[请求]可以直观看到数据:


一次HTB的取证之旅

那么我们可以定位该请求,过滤词条为http.request.method eq POST

一次HTB的取证之旅

(PS:一般的webshell通过POST来进行通信,可以作为一个过滤条件


选中第一个进行追踪http流


一次HTB的取证之旅

发现传输的内容做了加密处理,这时用到support.php文件,打开看下:


一次HTB的取证之旅

对函数进行个原的还

一次HTB的取证之旅

然后我们可以根据他这个加密数据的方法写一个解密的脚本,代码如下:


一次HTB的取证之旅

(ps:还没有实现自动化,凑合着用了


那这样就可以对加密的数据进行解密了

一次HTB的取证之旅
一次HTB的取证之旅
一次HTB的取证之旅
一次HTB的取证之旅

截图可以知道入侵者执行了whoami、pwd、ls -al,还有一个暂时不知道啥东西的命令。我们要获取的flag应该是在这个命令里。我们在ls -al中发现一个文件pwdb.kdbx文件。猜测一波暂时不知道的命令是cat pwdb.kdbx

将该内容另存为pwdb.kdbx,并用KeePass打开,提示需要密码:


一次HTB的取证之旅

这里使用keepass2john和haskcat破解密码:

首先需要pwdb.kdbx的哈希提取出来(图片和文件名字不对不重要)


一次HTB的取证之旅

然后利用生成的hash进一步的操作


一次HTB的取证之旅

跑完后的结果:

一次HTB的取证之旅
一次HTB的取证之旅
一次HTB的取证之旅
一次HTB的取证之旅

打完收工,总体而言,普通难度吧。

最后厚颜无耻贴下自己的微信吧

一次HTB的取证之旅


原文始发于微信公众号(广软NSDA安全团队):一次HTB的取证之旅

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月9日21:20:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次HTB的取证之旅https://cn-sec.com/archives/668137.html

发表评论

匿名网友 填写信息