玄机-第五章 linux实战-黑链的测试报告

目录

一、测试环境

二、测试目的

三、操作过程

Flag1

Flag2

Flag3

Flag4

四、结论


一、测试环境

靶场介绍:国内厂商设置的玄机靶场,以应急响应题目著名。

地址:https://xj.edisec.net/challenges/42

靶机IP:69.230.243.136

环境ssh登录:root xjty110pora 端口 2222

靶机简介:

二、测试目的

分析web目录,按要求找到指定文件和攻击入口,提交flag。

三、操作过程

Flag1

靶机的web目录是:/var/www/html

通过匹配:黑链 字符串,找到被添加黑链的文件:header.php

bash 复制代码
grep -rw '黑链'

Flag:flag{header.php}

Flag2

正则匹配eval函数,找到404.php中有一句话木马,是webshell

Flag2:flag{/var/www/html/usr/themes/default/404.php}

Flag3

正则匹配js文件中的eval函数,发现poc1.js文件有将一句话木马写入当前页面

bash 复制代码
find ./ -type f -name "*.js" | xargs grep "eval("

将该文件MD5加密,提交为正确答案

Flag3:flag{10c18029294fdec7b6ddab76d9367c14}

Flag4

在web目录中,找到output.pcap的流量包,将该文件下载

在靶机开启python临时web服务下载

bash 复制代码
python3 -m http.server 8888

在网页中即可下载

http://69.230.243.136:8888/output.pcap

已知注入黑链的文件是poc1.js,那么过滤包含该字符串的数据包

http contains "poc1.js"

在第二个包,发现将poc1.js包含到该页面的信息

追踪数据流发现响应包是302,进行了重定向,继续往下看

接着下一个请求,响应包就是200了,攻击入口就是这个地址:/index.php/archives/1/

Flag4:flag{/index.php/archives/1/}

四、结论

黑链会给用户很差的体验,排查黑链,可以通过关键字匹配查找被攻击的网页。Js文件很可能被用来实施此类攻击,可以通过这一特征进行排查。

在数据包中可以发现,攻击者通过cookie注入了恶意JavaScript代码并引入poc1.js文件。

排查webshell和注入黑链文件也可以将web目录导出,用杀毒软件查杀。

相关推荐
Johny_Zhao12 小时前
Centos8搭建hadoop高可用集群
linux·hadoop·python·网络安全·信息安全·云计算·shell·yum源·系统运维·itsm
落鹜秋水1 天前
Cacti命令执行漏洞分析(CVE-2022-46169)
web安全·网络安全
pencek1 天前
XCTF-crypto-幂数加密
网络安全
会议之眼1 天前
截稿倒计时 TrustCom‘25大会即将召开
网络安全
周先森的怣忈1 天前
渗透高级-----测试复现(第三次作业)
网络安全
MUY09901 天前
OSPF之多区域
网络·网络安全
波吉爱睡觉2 天前
文件解析漏洞大全
web安全·网络安全
青藤云安全2 天前
青藤天睿RASP再次发威!捕获E签宝RCE 0day漏洞
网络安全
pencek2 天前
HakcMyVM-Medusa
网络安全
Whoisshutiao3 天前
网安-SQL注入-sqli-labs
数据库·sql·网络安全