玄机-第五章 linux实战-黑链的测试报告

目录

一、测试环境

二、测试目的

三、操作过程

Flag1

Flag2

Flag3

Flag4

四、结论


一、测试环境

靶场介绍:国内厂商设置的玄机靶场,以应急响应题目著名。

地址:https://xj.edisec.net/challenges/42

靶机IP:69.230.243.136

环境ssh登录:root xjty110pora 端口 2222

靶机简介:

二、测试目的

分析web目录,按要求找到指定文件和攻击入口,提交flag。

三、操作过程

Flag1

靶机的web目录是:/var/www/html

通过匹配:黑链 字符串,找到被添加黑链的文件:header.php

bash 复制代码
grep -rw '黑链'

Flag:flag{header.php}

Flag2

正则匹配eval函数,找到404.php中有一句话木马,是webshell

Flag2:flag{/var/www/html/usr/themes/default/404.php}

Flag3

正则匹配js文件中的eval函数,发现poc1.js文件有将一句话木马写入当前页面

bash 复制代码
find ./ -type f -name "*.js" | xargs grep "eval("

将该文件MD5加密,提交为正确答案

Flag3:flag{10c18029294fdec7b6ddab76d9367c14}

Flag4

在web目录中,找到output.pcap的流量包,将该文件下载

在靶机开启python临时web服务下载

bash 复制代码
python3 -m http.server 8888

在网页中即可下载

http://69.230.243.136:8888/output.pcap

已知注入黑链的文件是poc1.js,那么过滤包含该字符串的数据包

http contains "poc1.js"

在第二个包,发现将poc1.js包含到该页面的信息

追踪数据流发现响应包是302,进行了重定向,继续往下看

接着下一个请求,响应包就是200了,攻击入口就是这个地址:/index.php/archives/1/

Flag4:flag{/index.php/archives/1/}

四、结论

黑链会给用户很差的体验,排查黑链,可以通过关键字匹配查找被攻击的网页。Js文件很可能被用来实施此类攻击,可以通过这一特征进行排查。

在数据包中可以发现,攻击者通过cookie注入了恶意JavaScript代码并引入poc1.js文件。

排查webshell和注入黑链文件也可以将web目录导出,用杀毒软件查杀。

相关推荐
纷飞的花火丶9 小时前
Oracle数据库注入基础入门
网络安全·oracle·sql注入
上海云盾商务经理杨杨15 小时前
2025年电商小程序小量DDoS攻击防护指南:从小流量到大威胁的全面防护方案
网络安全·小程序·ddos
小苑同学19 小时前
PaperReading:《Manipulating Multimodal Agents via Cross-Modal Prompt Injection》
人工智能·网络安全·语言模型·prompt·安全性测试
安达天下1 天前
Al驱动下的智能网联汽车创新与应用专题培训
网络安全·功能安全·aspice·预期功能安全·安达天下
大有数据可视化2 天前
金融系统的“防火墙”:数字孪生如何模拟风险攻击
网络安全·金融·数字孪生·智慧金融
Bruce_Liuxiaowei2 天前
SOCKS与防火墙:穿透与守护的网络安全协奏曲
网络·安全·web安全·网络安全
零信任Enlink_Young2 天前
企业协同办公平台与零信任安全防护的融合实践
网络安全
emma羊羊2 天前
【CSRF】防御
前端·网络安全·csrf
emma羊羊2 天前
【CSRF】跨站请求伪造
前端·网络安全·csrf
猫耳君2 天前
汽车网络安全 CyberSecurity ISO/SAE 21434 测试之三
安全·web安全·网络安全·汽车·测试·cyber·cybersecurity