前言
本次应急响应靶机采用的是知攻善防实验室的Linux-2应急响应靶机
靶机下载地址为:
https://pan.quark.cn/s/4b6dffd0c51a
相关账户密码: root/Inch@957821.(记住要带最后的点.)
解题
启动靶机
不建议直接使用账号密码登录,建议用另一台主机通过ssh协议连接该靶机。
我这里是用kali ssh连接该靶机
第一题、攻击者IP
想要知道攻击者的ip地址,那肯定是要去看web日志文件,看看里面有没有攻击者留下的痕迹
cd /www
cd wwwlogs
cat 127.0.0.1.log
几乎全都是192.168.20.1这哥们
哈,那么攻击者ip没跑了
第二题、攻击者修改的管理员密码(明文)
输入netstat -anp(系统会显示出一系列的网络连接信息,包括本地和远程IP地址、端口号、连接状态以及使用这些连接的进程信息)
发现有3306端口开放也就是mysql数据库
那么我们应该是需要登录上mysql来查看管理员密码
find / -name config.inc.php(数据库常用配置文件名)
直接find搜索配置文件
cat /www/wwwroot/127.0.0.1/lib/config.inc.php
也是成功知道了数据库用户名和密码
kaoshi/5Sx8mK5ieyLPb84m
运用得到的账户密码登录mysql
show databases;
use kaoshi;
show tables;
select * from x2_user;
发现是md5加密的但题目要求明文那就解密一下
f6f6eb5ace977d7e114377cc7098b7e3
这边推荐一个md5解密网站
MD5免费在线解密破解_MD5在线加密-SOMD5
第三题、第一次连接webshell的url
在ssh连接成功的根目录下有一个数据包文件,在靶机本地开启一个web服务将该数据包文件下载到本地
systemctl status firewalld
systemctl stop firewalld
python --version
ip a
python -m SimpleHTTPServer
第一次连接的url很简单,直接搜索.php第一个就是
index.php?user-app-register
第四题、webshell连接密码
追踪http流,将里面的dataurl解码
密码为Network2020
第五题、flag1
直接搜索字符串flag1
追踪http流
flag1{Network@_2020_Hack}
第六题、攻击者使用的后续上传的木马名称
还是搜索.php
version2.php
第七题、flag2
在/www/wwwroot/127.0.0.1/.api/alinotify.php中
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
第八题、flag3
flag3在历史命令之中
history
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
汇总一下答案,提交解题
