一、靶机介绍
前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!
1,提交攻击者IP
2,提交攻击者修改的管理员密码(明文)
3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
3,提交Webshell连接密码
4,提交数据包的flag1
5,提交攻击者使用的后续上传的木马文件名称
6,提交攻击者隐藏的flag2
7,提交攻击者隐藏的flag3
相关账户密码:
root/Inch@957821.
二、解题过程
查询特权用户(uid 为0)
awk -F: '$3==0' /etc/passwd
查询可以远程登录的帐号信息
awk '/\$1|\$6/{print $1}' /etc/shadow
![](https://img-blog.csdnimg.cn/direct/278db291e78d45e5bfafc5b06b3bc0de.png)
注意:在靶机里面复制粘贴不了,并且中文会变成乱码,我们可以使用ssh登录靶机,在ssh命令行里面进行解题
![](https://img-blog.csdnimg.cn/direct/050be09ab9a94096b072027c32a458dc.png)
![](https://img-blog.csdnimg.cn/direct/f60d150adb27420bac24cf617724a667.png)
通过 .bash_history 文件查看帐号执行过的系统命令
发现flag3:flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
![](https://img-blog.csdnimg.cn/direct/6521bcbf8f6e4fe49642000b5f2e0e57.png)
flag3被写入环境变量中
![](https://img-blog.csdnimg.cn/direct/41b152e20c6544828984aa05ecb4c794.png)
回到历史命令中,发现攻击者删除了flag1和version2.php文件
可以猜测flag1文件里面有flag的信息,version2.php可能是webshell
![](https://img-blog.csdnimg.cn/direct/acf2d482663548ed8b7e7f5ae3b82695.png)
发现攻击者修改了.api/mpnotify.php
文件和.api/alinotify.php
文件
![](https://img-blog.csdnimg.cn/direct/438f62869eef421b81f871e9ae097110.png)
查看这两个文件,在alinotify.php文件里面发现flag2:flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
![](https://img-blog.csdnimg.cn/direct/e58df713dcfc49b788341e4a4d073285.png)
查看当前目录的文件,发现应该数据包文件
![](https://img-blog.csdnimg.cn/direct/4ef67572755644c7b54fdc7b09771f09.png)
使用scp命令将数据包下载到本地
scp root@192.168.5.140:/root/数据包1.pcapng .
![](https://img-blog.csdnimg.cn/direct/36932e18198f4a8b8d9762d26e0bdfaf.png)
使用wireshack查看数据包,发现攻击者IP:192.168.20.1,发现请求flag1文件数据包
![](https://img-blog.csdnimg.cn/direct/8a5c9143116c47a1ab9f13c92e21fb8e.png)
将服务器返回包里面的数据转为字符串,得到flag1:flag1{Network@_2020_Hack}
![](https://img-blog.csdnimg.cn/direct/c21e2cebd4094d4398319d4858a18932.png)
查看web网站的日志文件,和web网站的根目录,未发现什么有用信息
![](https://img-blog.csdnimg.cn/direct/71570b6ab3554944ad919397d185f2ed.png)
使用命令chkconfig --list
查看服务自启动状态,可以看到所有的RPM包安装的服务,发现bt服务,宝塔
![](https://img-blog.csdnimg.cn/direct/643fde3e946845d5800d50ea17a4bcf2.png)
命令行执行bt,启动宝塔命令行
![](https://img-blog.csdnimg.cn/direct/5626d5f15d054344a58e1e4d8665a048.png)
查询面板的默认信息,得到宝塔的url和用户名
![](https://img-blog.csdnimg.cn/direct/994572e45b15470a962222bea988757a.png)
修改宝塔的密码为root
![](https://img-blog.csdnimg.cn/direct/312f66069b7640668c63d554ae482713.png)
登录宝塔面板
![](https://img-blog.csdnimg.cn/direct/43b28ebcabac4e2baf5b8e5ddbd20ff0.png)
查看数据库的用户名和密码
![](https://img-blog.csdnimg.cn/direct/1eb7fca3e06c4bc7b7550361ff2912ef.png)
登录数据库,访问x2_user
表,得到管理员加密后的密码:f6f6eb5ace977d7e114377cc7098b7e3
![](https://img-blog.csdnimg.cn/direct/938b9fedeba24558adf3bedef090f479.png)
使用在线网站解密得到:Network@2020
![](https://img-blog.csdnimg.cn/direct/bfc3e532b124450caaab597b16e63681.png)
根据数据包和日志,攻击者刚开始频繁访问/index.php?user-app-register
,后面又频繁访问/version2.php
,并且将version2.php
文件删除,可以猜测攻击者访问的这两个地方存在webshell
我们可以使用管理员账号登录网站检查/index.php?user-app-register
![](https://img-blog.csdnimg.cn/direct/c9e795583b9a4d1b89d0f2f0e4f26e9a.png)
发现webshell被写入标签管理->注册协议处,webshell的连接密码为:Network2020
![](https://img-blog.csdnimg.cn/direct/81b45a1779fa4f0e8853200762af892a.png)
将答案整理,提交
![](https://img-blog.csdnimg.cn/direct/7b25cdd5349d420f8c73e6702b8e06a8.png)