记录一次HTB的取证旅途
本来想着学习wireshark技巧,在htb逛的时候发现一个叫做obscure靶场,感觉有意思就开干。
靶场的描述如下:
CHALLENGE DESCRIPTION
An attacker has found a vulnerability in our web server that allows arbitrary PHP file upload in our Apache server. Suchlike, the hacker has uploaded a what seems to be like an obfuscated shell (support.php). We monitor our network 24/7 and generate logs from tcpdump (we provided the log file for the period of two minutes before we terminated the HTTP service for investigation), however, we need your help in analyzing and identifying commands the attacker wrote to understand what was compromised.
大概意思是有个webshell,然后是执行过什么什么命令,把里面的flag提取出来。
下载下来一共有三个文档,to-do.txt内容是上述目标,supoort.php是webshell文件,pcap就是攻击事件的包
打开pcap包,知道攻击事件是主机收到webshell攻击,我们可以通过在wires hark中[统计]—>[http]—>[请求]可以直观看到数据:
那么我们可以定位该请求,过滤词条为http.request.method eq POST
(PS:一般的webshell通过POST来进行通信,可以作为一个过滤条件
选中第一个进行追踪http流
发现传输的内容做了加密处理,这时用到support.php文件,打开看下:
对函数进行个原的还
然后我们可以根据他这个加密数据的方法写一个解密的脚本,代码如下:
(ps:还没有实现自动化,凑合着用了
那这样就可以对加密的数据进行解密了
截图可以知道入侵者执行了whoami、pwd、ls -al,还有一个暂时不知道啥东西的命令。我们要获取的flag应该是在这个命令里。我们在ls -al中发现一个文件pwdb.kdbx文件。猜测一波暂时不知道的命令是cat pwdb.kdbx
将该内容另存为pwdb.kdbx,并用KeePass打开,提示需要密码:
这里使用keepass2john和haskcat破解密码:
首先需要pwdb.kdbx的哈希提取出来(图片和文件名字不对不重要)
然后利用生成的hash进一步的操作
跑完后的结果:
打完收工,总体而言,普通难度吧。
最后厚颜无耻贴下自己的微信吧
原文始发于微信公众号(广软NSDA安全团队):一次HTB的取证之旅
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论