目录
一、测试环境
靶场介绍:国内厂商设置的玄机靶场,以应急响应题目著名。
地址:https://xj.edisec.net/challenges/42
靶机IP:69.230.243.136
环境ssh登录:root xjty110pora 端口 2222
靶机简介:
二、测试目的
分析web目录,按要求找到指定文件和攻击入口,提交flag。
三、操作过程
Flag1
靶机的web目录是:/var/www/html
通过匹配:黑链 字符串,找到被添加黑链的文件:header.php
bash
grep -rw '黑链'Flag:flag{header.php}
Flag2
正则匹配eval函数,找到404.php中有一句话木马,是webshell
Flag2:flag{/var/www/html/usr/themes/default/404.php}
Flag3
正则匹配js文件中的eval函数,发现poc1.js文件有将一句话木马写入当前页面
bash
find ./ -type f -name "*.js" | xargs grep "eval("
将该文件MD5加密,提交为正确答案
Flag3:flag{10c18029294fdec7b6ddab76d9367c14}
Flag4
在web目录中,找到output.pcap的流量包,将该文件下载
在靶机开启python临时web服务下载
bash
python3 -m http.server 8888
在网页中即可下载
http://69.230.243.136:8888/output.pcap
已知注入黑链的文件是poc1.js,那么过滤包含该字符串的数据包
http contains "poc1.js"
在第二个包,发现将poc1.js包含到该页面的信息
追踪数据流发现响应包是302,进行了重定向,继续往下看
接着下一个请求,响应包就是200了,攻击入口就是这个地址:/index.php/archives/1/
Flag4:flag{/index.php/archives/1/}
四、结论
黑链会给用户很差的体验,排查黑链,可以通过关键字匹配查找被攻击的网页。Js文件很可能被用来实施此类攻击,可以通过这一特征进行排查。
在数据包中可以发现,攻击者通过cookie注入了恶意JavaScript代码并引入poc1.js文件。
排查webshell和注入黑链文件也可以将web目录导出,用杀毒软件查杀。