wordpress开发sns,seo厂家费用低,公司简介范文100字左右,汝阳网站建设目录
1. 请提交攻击者的ip与系统版本
2. 攻击者通过某个组件漏洞获得服务器权限#xff0c;请提交该组件的名称
3. 请提交攻击者首次攻击成功的时间
4. 请提交攻击者上传的webshell文件绝对路径
5. 请提交攻击者使用的webshell管理工具
6. 攻击者进一步留下的免杀的webs…目录
1. 请提交攻击者的ip与系统版本
2. 攻击者通过某个组件漏洞获得服务器权限请提交该组件的名称
3. 请提交攻击者首次攻击成功的时间
4. 请提交攻击者上传的webshell文件绝对路径
5. 请提交攻击者使用的webshell管理工具
6. 攻击者进一步留下的免杀的webshell在网站中请提交该shell的原文内容
7. 攻击者修改了某文件导致webshell删除后攻击者仍然拥有服务器权限请提交该文件的绝对路径
8. 请提交网站服务连接数据库使用的数据库账号和密码
9. 请提交攻击者在数据库中留下的信息格式为flag{...}
10. 请分析攻击者的入侵行为与过程 练习环境: Linux localhost 3.10.0-1160.el7.x86_64
1. 请提交攻击者的ip与系统版本
到文件根目录看到有www目录 查看www的web日志 www/wwwlogs/172.16.24.128-access_log (如果实在是找不到web日志就通过find查找find -name *access*log* -type f) cat ./172.16.24.128-access_log 单独筛选出POST数据 cat www/wwwlogs/172.16.24.128-access_log | grep POST 这里能看到172.16.24.1这个ip多次访问tt1.php这个文件很可疑 单独查找tt1.php cat www/wwwlogs/172.16.24.128-access_log | grep tt1.php 这里能看到黑客执行了phpinfo()获取了网站配置信息 黑客ip172.16.24.1
系统Windows NT 10.0; Win64; x64
2. 攻击者通过某个组件漏洞获得服务器权限请提交该组件的名称 这里先略过先把web日志分析完再来做 这里先去看用户配置文件passwd里的ront用户 cat etc/passwd | grep 0:0 这里发现除了root用户还有一个www用户和msf用户有root权限 查看所有用户登录时间
没什么收获 这里去看home目录下的用户
这里有www用户的目录 查看www用户的历史命令记录 这里 .bash_history是隐藏文件 这里发现www用户执行过cve-2021-3156漏洞的python文件 似乎是系统漏洞 还执行过 ./suggester.sh来进行信息搜集 因为比赛的时候是没有网的所以这里不去搜索这个文件是哪个组件的漏洞 现在去查系统日志文件 /var/log/message 内核消息及各种应用程序的公共日志信息,包括启动、I/O错误、 网络错误、 /var/log/cron Crond周期性计划任务产生的时间信息 /var/log/dmesg 弓|导过程中的各种时间信息 /var/log/ maillog 进入或发出系统的电子邮件活动 /var/log/lastlog 每个用户最近的登录事件 /var/log/secure 用户认证相关的安全事件信息 /var/log/wtmp 每个用户登录注销及系统启动和停机事件 /var/log/btmp 失败的、错误的登录尝试及验证事件 这里先看secure文件 当看到www用户时发现用户进行了提权, 使用的是sudo组件的漏洞 组件: sudo
3. 请提交攻击者首次攻击成功的时间
继续分析 这里能明显看到黑客上传成功后门以后先是访问了一下是否存在后续便通过工具连接 首次攻击成功实践[04/Oct/2023:22:30:18 0800]
4. 请提交攻击者上传的webshell文件绝对路径
全局搜索tt1.php find / -name tt1.php -type f 文件绝对路径/www/wwwroot/172.16.24.128/wp-content/plugins/wp-file-manager/lib/files/tt1.php
5. 请提交攻击者使用的webshell管理工具
从后门文件来看看不出是使用的那种webshell管理工具
那么只能从webshell管理的流量上下手 继续分析web日志 数据包流量特征 中国菜刀 1请求包中ua头为百度火狐 2请求体中存在eavlbase64等特征字符 3请求体中传递的payload为base64编码 蚂蚁宝剑 使用普通的一句话都存在以下特征 每个请求体都存在ini_set(“display_errors”, “0”);set_time_limit(0)开头。并且后面存在base64等字符 响应包的结果返回格式为随机数 响应内容 随机数 冰蝎2.0 第一阶段请求中返回包状态码为200返回内容必定是16位的密钥 请求包存在Accept: text/html, image/gif, image/jpeg, ; q.2, /; q.2 冰蝎3.0 请求包中content-length 为5740或5720可能会根据Java版本而改变 每一个请求头中存在 Pragma: no-cacheCache-Control: no-cache Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/webp,image/apng,/*;q0.8,application/signed-exchange;vb3;q0.9 哥斯拉 所有请求中Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/webp,/;q0.8 从整体来看像是菜刀 shell管理工具菜刀 到这里以后回到第二步 6. 攻击者进一步留下的免杀的webshell在网站中请提交该shell的原文内容
这里我还是老样子全局搜索所有可能为后门的文件 cat find / -name *.php -type f | grep eval 这里我一般会找三个后门文件后缀 asp jsp php最常见的就是php所以首先查找 第二筛选内容也是后门文件的特征assert eval system之类的函数 当看到这里时找到免杀后门文件 这里的后门文件先用a接受json加密后的命令再用data接受解密后的再输出执行后的data 通过内容特征找这个文件 find / -name *.php -type f | xargs grep cdp 后门免杀文件路径/www/wwwroot/172.16.24.128/wp-admin/user/passthru.php
7. 攻击者修改了某文件导致webshell删除后攻击者仍然拥有服务器权限请提交该文件的绝对路径
到这里主要需要分析的就是自启动项目还有就是恶意文件了
先看网络有没有外联其他ip 查看进程ps -aux 这里发现了反弹shell 继续查看此进程详情 这里并没有任何信息, 猜测是写在开机自启动或者定时任务里的命令 查看定时任务列表 没有定时任务, 手动去查 cat /etc/init.d/rc.local cat /etc/rc.local ls -alt /etc/init.d 查看init.d文件夹下的所有文件的详细信息 并没有什么有用信息 查看定时任务
发现反弹shell代码 路径: /etc/crontab
8. 请提交网站服务连接数据库使用的数据库账号和密码
这里去找网站的配置文件, 配置文件里有账号密码 找不到的话可以搜索www目录下的config文件 账号: sql172_16_24_12
密码: sqlpass
9. 请提交攻击者在数据库中留下的信息格式为flag{...}
登录mysql 使用在配置文件看到的数据库 查表 查数据 flag{th1s_ls_fl99999g1}
10. 请分析攻击者的入侵行为与过程 通过web端漏洞上传后门文件再通过后门文件上传免杀webshell通过系统漏洞提权为了保持权限在定时文件中加入反弹shell
