目錄

1. 請?zhí)峤还粽叩膇p與系統(tǒng)版本

2. 攻擊者通過某個組件漏洞獲得服務器權(quán)限，請?zhí)峤辉摻M件的名稱

3. 請?zhí)峤还粽呤状喂舫晒Φ臅r間

4. 請?zhí)峤还粽呱蟼鞯膚ebshell文件絕對路徑

5. 請?zhí)峤还粽呤褂玫膚ebshell管理工具

6. 攻擊者進一步留下的免殺的webshell在網(wǎng)站中，請?zhí)峤辉搒hell的原文內(nèi)容

7. 攻擊者修改了某文件，導致webshell刪除后，攻擊者仍然擁有服務器權(quán)限，請?zhí)峤辉撐募慕^對路徑

8. 請?zhí)峤痪W(wǎng)站服務連接數(shù)據(jù)庫使用的數(shù)據(jù)庫賬號和密碼

9. 請?zhí)峤还粽咴跀?shù)據(jù)庫中留下的信息，格式為：flag{...}

10. 請分析攻擊者的入侵行為與過程

---

練習環(huán)境:? Linux localhost 3.10.0-1160.el7.x86_64

1. 請?zhí)峤还粽叩膇p與系統(tǒng)版本

到文件根目錄看到有www目錄

查看www的web日志

www/wwwlogs/172.16.24.128-access_log

(如果實在是找不到web日志就通過find查找find -name '*access*log*' -type f)

cat ./172.16.24.128-access_log

單獨篩選出POST數(shù)據(jù)

cat www/wwwlogs/172.16.24.128-access_log | grep POST

這里能看到172.16.24.1這個ip多次訪問tt1.php這個文件，很可疑

單獨查找tt1.php

cat www/wwwlogs/172.16.24.128-access_log | grep tt1.php

這里能看到黑客執(zhí)行了phpinfo()獲取了網(wǎng)站配置信息

黑客ip：172.16.24.1

系統(tǒng)：Windows NT 10.0; Win64; x64

2. 攻擊者通過某個組件漏洞獲得服務器權(quán)限，請?zhí)峤辉摻M件的名稱

這里先略過，先把web日志分析完再來做

這里先去看用戶配置文件passwd里的ront用戶

cat etc/passwd | grep 0:0

這里發(fā)現(xiàn)除了root用戶還有一個www用戶和msf用戶有root權(quán)限

查看所有用戶登錄時間

沒什么收獲

這里去看home目錄下的用戶

這里有www用戶的目錄

查看www用戶的歷史命令記錄

這里? ?.bash_history是隱藏文件

這里發(fā)現(xiàn)www用戶執(zhí)行過cve-2021-3156漏洞的python文件

似乎是系統(tǒng)漏洞

還執(zhí)行過 ./suggester.sh來進行信息搜集

因為比賽的時候是沒有網(wǎng)的所以這里不去搜索這個文件是哪個組件的漏洞

現(xiàn)在去查系統(tǒng)日志文件

/var/log/message 內(nèi)核消息及各種應用程序的公共日志信息,包括啟動、I/O錯誤、 網(wǎng)絡錯誤、

/var/log/cron Crond周期性計劃任務產(chǎn)生的時間信息

/var/log/dmesg 弓|導過程中的各種時間信息

/var/log/ maillog 進入或發(fā)出系統(tǒng)的電子郵件活動

/var/log/lastlog 每個用戶最近的登錄事件

/var/log/secure 用戶認證相關(guān)的安全事件信息

/var/log/wtmp 每個用戶登錄注銷及系統(tǒng)啟動和停機事件

/var/log/btmp 失敗的、錯誤的登錄嘗試及驗證事件

這里先看secure文件

當看到www用戶時發(fā)現(xiàn)用戶進行了提權(quán),? 使用的是sudo組件的漏洞

組件:? sudo

3. 請?zhí)峤还粽呤状喂舫晒Φ臅r間

繼續(xù)分析

這里能明顯看到，黑客上傳成功后門以后先是訪問了一下是否存在，后續(xù)便通過工具連接

首次攻擊成功實踐：[04/Oct/2023:22:30:18 +0800]

4. 請?zhí)峤还粽呱蟼鞯膚ebshell文件絕對路徑

全局搜索tt1.php

find / -name 'tt1.php' -type f

文件絕對路徑：/www/wwwroot/172.16.24.128/wp-content/plugins/wp-file-manager/lib/files/tt1.php

5. 請?zhí)峤还粽呤褂玫膚ebshell管理工具

從后門文件來看看不出是使用的那種webshell管理工具

那么只能從webshell管理的流量上下手

繼續(xù)分析web日志

數(shù)據(jù)包流量特征：

中國菜刀：

1，請求包中：ua頭為百度，火狐
2，請求體中存在eavl，base64等特征字符
3，請求體中傳遞的payload為base64編碼

螞蟻寶劍：
使用普通的一句話都存在以下特征：
每個請求體都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)開頭。并且后面存在base64等字符
響應包的結(jié)果返回格式為：隨機數(shù)? ? 響應內(nèi)容? ?隨機數(shù)

冰蝎2.0

第一階段請求中返回包狀態(tài)碼為200，返回內(nèi)容必定是16位的密鑰

請求包存在：Accept: text/html, image/gif, image/jpeg,?; q=.2,?/; q=.2

冰蝎3.0

請求包中content-length 為5740或5720（可能會根據(jù)Java版本而改變）
每一個請求頭中存在
Pragma: no-cache，Cache-Control: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9

哥斯拉

所有請求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8

從整體來看像是菜刀

shell管理工具：菜刀

到這里以后回到第二步

6. 攻擊者進一步留下的免殺的webshell在網(wǎng)站中，請?zhí)峤辉搒hell的原文內(nèi)容

這里我還是老樣子全局搜索所有可能為后門的文件

cat `find / -name '*.php' -type f` | grep eval

這里我一般會找三個后門文件后綴 asp? jsp? php，最常見的就是php所以首先查找

第二篩選內(nèi)容也是后門文件的特征assert? eval? system之類的函數(shù)

當看到這里時找到免殺后門文件

這里的后門文件先用a接受json加密后的命令，再用data接受解密后的，再輸出執(zhí)行后的data

通過內(nèi)容特征找這個文件

find / -name '*.php' -type f | xargs grep 'cdp'

后門免殺文件路徑：/www/wwwroot/172.16.24.128/wp-admin/user/passthru.php

7. 攻擊者修改了某文件，導致webshell刪除后，攻擊者仍然擁有服務器權(quán)限，請?zhí)峤辉撐募慕^對路徑

到這里主要需要分析的就是自啟動項目還有就是惡意文件了

先看網(wǎng)絡有沒有外聯(lián)其他ip

查看進程ps -aux

這里發(fā)現(xiàn)了反彈shell

繼續(xù)查看此進程詳情

這里并沒有任何信息,? 猜測是寫在開機自啟動或者定時任務里的命令

查看定時任務列表

沒有定時任務,? 手動去查

cat /etc/init.d/rc.local? ? ? ? cat /etc/rc.local? ? ? ?ls -alt /etc/init.d
查看init.d文件夾下的所有文件的詳細信息

并沒有什么有用信息

查看定時任務

發(fā)現(xiàn)反彈shell代碼

路徑:? /etc/crontab

8. 請?zhí)峤痪W(wǎng)站服務連接數(shù)據(jù)庫使用的數(shù)據(jù)庫賬號和密碼

這里去找網(wǎng)站的配置文件,? 配置文件里有賬號密碼

找不到的話可以搜索www目錄下的config文件

賬號:? ?sql172_16_24_12

密碼:? ?sqlpass

9. 請?zhí)峤还粽咴跀?shù)據(jù)庫中留下的信息，格式為：flag{...}

登錄mysql

使用在配置文件看到的數(shù)據(jù)庫

查表

查數(shù)據(jù)

flag{th1s_ls_fl99999g1}

10. 請分析攻擊者的入侵行為與過程

1. 通過web端漏洞上傳后門文件
2. 再通過后門文件上傳免殺webshell
3. 通過系統(tǒng)漏洞提權(quán)
4. 為了保持權(quán)限在定時文件中加入反彈shell