知攻善防 【護網訓練-Linux】應急響應靶場-Easy溯源

小張是個剛入門的程序猿，在公司開發產品的時候突然被叫去應急，小張心想"早知道簡歷上不寫會應急了"，于是call了運維小王的電話，小王說"你面試的時候不是說會應急嗎？偽造簡歷嗎？真該死。"

1. 攻擊者內網跳板機IP地址

2. 攻擊者服務器地址

3. 存在漏洞的服務(提示:7個字符)

4. 攻擊者留下的flag(格式zgsf{})

4. 攻擊者郵箱地址

5. 攻擊者的ID名稱

相關賬號密碼 Ubuntu：zgsfsys/zgsfsys

打開靶機發現桌面有個password文件

第一個網站是寶塔的后臺面板

下面兩個就正常的站點，那么就登錄寶塔上看一下

首先是看一下日志，這個IP框框的攻擊，就是他了 192.168.11.129

兩個站點篩選出來都是這個IP在作祟

然后查看了一下網站的文件，沒有看到什么很明顯的webshell，只能在服務器上看一看其他的東西

首先看了進程和端口

沒有什么異常的進程，也沒有什么異常的端口，都是正常的服務，有查看了下history，發現了異常

發現了反彈shell的命令

同時歷史下載了jenkins服務，我看搞這個搞了好久好像，進程里確實也有這個服務，去訪問一下，開放的端是8080

訪問直接進入主頁了，我記得這個是要密碼登錄的來著，懷疑是這個瀏覽器有cookie，換成宿主機也是一樣的，看來是有未授權了

并且給出了flag： zgsf{gongzhonghaozhigongshanfangshiyanshi}

在網上搜了一下jenkins的相關打法，有能命令執行的地方，我之前確實沒在外網遇到過jenkins的漏洞所以沒打過這個，沒有經驗，否則在看到history的時候就能立刻反應過來，因為poc很明顯

訪問script路徑

用了這個用來回顯的println，那個反彈shell的命令也用了這個。

還有最后的一些信息再翻一翻

在root的根目錄發現了留下的反彈shell的腳本

在root下面發現了frp，打開配置文件有遠程的IP地址

一個美國IP

后續的溯源因為github上的廠庫被刪了所以也無法溯源，作者的原意思是配置文件中泄露了這個IP地址最后能找到一個郵箱的

總結

1. 攻擊者內網跳板機IP地址 192.168.11.129

2. 攻擊者服務器地址 156.66.33.66

3. 存在漏洞的服務(提示:7個字符) jenkins

4. 攻擊者留下的flag(格式zgsf{}) zgsf{gongzhonghaozhigongshanfangshiyanshi}