玄机-第五章 linux实战-黑链的测试报告

目录

一、测试环境

二、测试目的

三、操作过程

Flag1

Flag2

Flag3

Flag4

四、结论


一、测试环境

靶场介绍:国内厂商设置的玄机靶场,以应急响应题目著名。

地址:https://xj.edisec.net/challenges/42

靶机IP:69.230.243.136

环境ssh登录:root xjty110pora 端口 2222

靶机简介:

二、测试目的

分析web目录,按要求找到指定文件和攻击入口,提交flag。

三、操作过程

Flag1

靶机的web目录是:/var/www/html

通过匹配:黑链 字符串,找到被添加黑链的文件:header.php

bash 复制代码
grep -rw '黑链'

Flag:flag{header.php}

Flag2

正则匹配eval函数,找到404.php中有一句话木马,是webshell

Flag2:flag{/var/www/html/usr/themes/default/404.php}

Flag3

正则匹配js文件中的eval函数,发现poc1.js文件有将一句话木马写入当前页面

bash 复制代码
find ./ -type f -name "*.js" | xargs grep "eval("

将该文件MD5加密,提交为正确答案

Flag3:flag{10c18029294fdec7b6ddab76d9367c14}

Flag4

在web目录中,找到output.pcap的流量包,将该文件下载

在靶机开启python临时web服务下载

bash 复制代码
python3 -m http.server 8888

在网页中即可下载

http://69.230.243.136:8888/output.pcap

已知注入黑链的文件是poc1.js,那么过滤包含该字符串的数据包

http contains "poc1.js"

在第二个包,发现将poc1.js包含到该页面的信息

追踪数据流发现响应包是302,进行了重定向,继续往下看

接着下一个请求,响应包就是200了,攻击入口就是这个地址:/index.php/archives/1/

Flag4:flag{/index.php/archives/1/}

四、结论

黑链会给用户很差的体验,排查黑链,可以通过关键字匹配查找被攻击的网页。Js文件很可能被用来实施此类攻击,可以通过这一特征进行排查。

在数据包中可以发现,攻击者通过cookie注入了恶意JavaScript代码并引入poc1.js文件。

排查webshell和注入黑链文件也可以将web目录导出,用杀毒软件查杀。

相关推荐
墨染 殇雪1 天前
文件上传漏洞基础及挖掘流程
网络安全·漏洞分析·漏洞挖掘·安全机制
网络安全大学堂1 天前
【网络安全入门基础教程】网络安全零基础学习方向及需要掌握的技能
网络·学习·安全·web安全·网络安全·黑客
君君思密达1 天前
网络安全初级-渗透测试
安全·网络安全
网安INF1 天前
【论文阅读】-《Besting the Black-Box: Barrier Zones for Adversarial Example Defense》
人工智能·深度学习·网络安全·黑盒攻击
lingggggaaaa1 天前
小迪安全v2023学习笔记(七十七讲)—— 业务设计篇&隐私合规检测&重定向漏洞&资源拒绝服务
笔记·学习·安全·web安全·网络安全
Suckerbin1 天前
Corrosion: 1靶场渗透
笔记·安全·网络安全
Whoami!1 天前
⸢ 肆 ⸥ ⤳ 默认安全:安全建设方案 ➭ b.安全资产建设
网络安全·信息安全·安全架构·安全资产
Bruce_Liuxiaowei2 天前
基于BeEF的XSS钓鱼攻击与浏览器劫持实验
前端·网络安全·ctf·xss
汉堡包0012 天前
【网安干货】--计算机网络知识梳理总结(二)
计算机网络·安全·网络安全
Suckerbin2 天前
Web安全——JWT
安全·web安全·网络安全