前言

本次应急响应靶机采用的是知攻善防实验室的Linux-2应急响应靶机

靶机下载地址为：

https://pan.quark.cn/s/4b6dffd0c51a

相关账户密码： root/Inch@957821.(记住要带最后的点.)

解题

启动靶机

不建议直接使用账号密码登录，建议用另一台主机通过ssh协议连接该靶机。

我这里是用kali ssh连接该靶机

 第一题、攻击者IP

想要知道攻击者的ip地址，那肯定是要去看web日志文件，看看里面有没有攻击者留下的痕迹

cd /www

cd wwwlogs

cat 127.0.0.1.log

几乎全都是192.168.20.1这哥们

哈，那么攻击者ip没跑了

第二题、攻击者修改的管理员密码(明文) 

输入netstat -anp（系统会显示出一系列的网络连接信息，包括本地和远程IP地址、端口号、连接状态以及使用这些连接的进程信息）

发现有3306端口开放也就是mysql数据库

那么我们应该是需要登录上mysql来查看管理员密码

find / -name config.inc.php（数据库常用配置文件名）

直接find搜索配置文件 

cat /www/wwwroot/127.0.0.1/lib/config.inc.php

 也是成功知道了数据库用户名和密码

kaoshi/5Sx8mK5ieyLPb84m

运用得到的账户密码登录mysql

show databases;

use kaoshi;

show tables;

select * from x2_user;

发现是md5加密的但题目要求明文那就解密一下

f6f6eb5ace977d7e114377cc7098b7e3

这边推荐一个md5解密网站

MD5免费在线解密破解_MD5在线加密-SOMD5

第三题、第一次连接webshell的url

在ssh连接成功的根目录下有一个数据包文件，在靶机本地开启一个web服务将该数据包文件下载到本地

systemctl status firewalld

systemctl stop firewalld

python --version

ip a

python -m SimpleHTTPServer

 

第一次连接的url很简单，直接搜索.php第一个就是

 index.php?user-app-register

第四题、webshell连接密码

追踪http流，将里面的dataurl解码

密码为Network2020

第五题、flag1

直接搜索字符串flag1

追踪http流

flag1{Network@_2020_Hack}

第六题、攻击者使用的后续上传的木马名称

还是搜索.php

version2.php

第七题、flag2

在/www/wwwroot/127.0.0.1/.api/alinotify.php中

flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

第八题、flag3

flag3在历史命令之中

history

flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

汇总一下答案，提交解题