知攻善防应急靶机: [护网训练]原创应急响应靶机整理集合
前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!
1,提交攻击者IP
2,提交攻击者修改的管理员密码(明文)
3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
3,提交Webshell连接密码
4,提交数据包的flag1
5,提交攻击者使用的后续上传的木马文件名称
6,提交攻击者隐藏的flag2
7,提交攻击者隐藏的flag3
相关账户密码: root/Inch@957821.
正常登录ssh,发现当前目录下存在一个数据包1.pcapng文件,估计是要看流量的
简答看了下history,发现历史中下载了宝塔,并且是有web服务的
还发现了一个flag3
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
先看看history中出现过的所有文件
在翻看www下的php文件发现了flag2
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
这里我是看有历史中编辑了.api目录就去翻了一下,实际的php文件非常多并不是适合直接去一个个翻
看了下开放的端口和进程
有开启了mysql数据库和宝塔面板
那么可以先看看宝塔面板
输入14查看默认信息
密码不知道,只能尝试修改密码,编号5将密码修改为admin123,然后就访问内网面板地址就能正常登录了
翻了一下面板,看了下网站日志,有几个攻击者者ip:192.168.20.1、192.168.20.131
又到日志中搜索了一下flag,但是尝试访问flag1路径并没有值返回
和历史命令对应上了,应该是被删除了flag1
最后一个比较重要的就是这个数据库了,需要我们等了进去检测一下
用他自带的phpmyadmin即可,看了一下有很多表在这个kaoshi的库里
找了一下发现有个x2_user表中存放了用户信息
管理员的话应该是peadmin这个账户,解密一下这个密码是 Network@2020
宝塔和网站基本看完了,接下里就是看具体的流量数据包和日志了
用wireshark打开数据包基本上都是192.168.20.1的ip,基本可以确定攻击者ip是此ip了
简单过滤一下http的流量,先找到flag1的请求数据包
flag1{Network@_2020_Hack}
随便打开一个请求/index.php?user-app-register 都可以看到很明显的蚁剑的流量特征
响应中也回显了执行的结果
按照蚁剑的特征连接密码应该就是Network2020,可以想办法找一下这个shell写在哪里了,过滤一下eval函数,因为这个函数是最常见的一句话木马
grep -rn "@eval(" /www/
写在了html页面,那么去网站上看一看
这里要访问网站需要再宝塔上面添加一下靶机的ip,再访问index.php即可
然后用peadmin的账号登录,找到个人中心-》后台管理-》内容-》标签管理
编辑这个标签就能找到这个shell文件
这里是注册了路由协议,所以真正能用php执行也是这个原因。我们也可以尝试用蚁剑连接一下
最后一个问题,观察数据包发现后续都在访问vsersion2.php这个文件
这个大概就是换了个webshell在用,我们可以分析最后一次请求蚁剑的webshell在干嘛
打开看到响应包
明显是在写一个新的webshell,rebeyond很明显的冰蝎马。
到处问题就都解决了,整理一下提交flag
提交攻击者IP?
192.168.20.1
提交攻击者修改的管理员密码(明文)
Network@2020
提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
index.php?user-app-register
提交Webshell连接密码
Network2020
提交数据包的flag1
flag1{Network@_2020_Hack}
提交攻击者使用的后续上传的木马文件名称
version2.php
提交攻击者隐藏的flag2
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
提交攻击者隐藏的flag3
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
