[网络安全]知攻知攻善防应急响应靶场-linux2

一、题目信息

原始来自于知攻善防实验室。参考链接https://www.bilibili.com/opus/968899052437504041

题目情况如下：

1.1 背景

    看监控的时候发现webshell告警，领导让你上机检查，你可以救救安服仔吗！！

1.2 挑战

     ①提交攻击者IP

    ②提交攻击者修改的管理员密码(明文)

    ③提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)

    ④提交Webshell连接密码

    ⑤提交数据包的flag1

    ⑥提交攻击者使用的后续上传的木马文件名称

    ⑦提交攻击者隐藏的flag2

    ⑧提交攻击者隐藏的flag3

1.3 注意

    该靶机存在许多非预期解，请合理练习应急响应技能。

    靶机启动：解压后双击ovf导入虚拟机打开即可。

1.4 相关账号密码

    root/Inch@957821.  （注意是大写的 i 不是小写的 L）

1.5 关于解题

    root下,运行"./wp"即可

二、个人解法总结

备份环境，如果有www类似的，修复之前务必记得备份到本地。

tar -cvf backup.tar /home/user/data/

使用mobaxterm等工具连接靶机。密码在上面。注意有些题目给了多个用户账户，要看看权限，不是root权限可能用不了。

以下思路供参考，详细的看看这里，对照一下自己有哪些漏掉了。

https://github.com/Bypass007/Emergency-Response-Notes/blob/master/%E7%AC%AC01%E7%AB%A0%EF%BC%9A%E5%85%A5%E4%BE%B5%E6%8E%92%E6%9F%A5%E7%AF%87/%E7%AC%AC2%E7%AF%87%EF%BC%9ALinux%20%E5%85%A5%E4%BE%B5%E6%8E%92%E6%9F%A5.md

 

1、确认靶机类型和运行的功能

cat /etc/os-release linux主机

netstat -antlp 注意需要管理员权限，否则看不到PID列的内容

 ps 2189（2189是上一条命令发现的12485端口对应的PID）

 跟进/www/server目录，发现宝塔和phpmyadmin等目录

 基本确认运行了宝塔和phpmyadmin等。

 

2、确认历史命令中是否有异常命令，如反弹shell等；

history 检查动了哪些文件，执行了什么操作，猜测其意图

cat .bash_history

env

3、log文件等

3.1 操作系统日志

如果有的话，看一下。

3.2应用日志

查找access.log

find / -name *.log

或者

find / -name access.log

初学者要注意linux区分大小写。之后根据log排查是否有异常的扫描

 4、配置文件

whereis nginx

whereis redis

find / -name *.cnf 

 

 

my.conf是mysql的配置文件

redis.c

find / -name *conf*

 5、查看用户

cat /etc/passwd 看看有没有异常的用户

/bin/bash 登录权限的用户有哪些

redis等服务的用户如果有，就意味着跑了redis等。后续要关注。

 

 6、确认用户登录情况

last命令

lastb命令

root用户，无其他用户，曾经被192.168.20.1登录

7 查看用户目录是否有异常

 

 8 对web站点进行d盾和河马扫描

www路径下有多个站点，结合日志可以备份127.0.0.1并下载

 扫描后未发现webshell，猜测是通过BT登录的。

9 自启动文件

crontab

 

10 运行bt掌握宝塔的基本功能

初始化密码 输入5命令，初始化密码

bt输入14命令，查看入口

登录后台，查看phpmyadmin并从宝塔跳转

 注意红色区域有第二页，单击即可切换

 

 

三 攻击手法及修复

攻击手法猜测应该是从phpcms利用peadmin:peadmin弱口令登录后，上传了蚁剑webshell，但是如何上传的就不知道了。

看了官网wp，具体是这样的。

 

phpems的打法还有这些：

https://blog.csdn.net/qq_35607078/article/details/135964923

反序列化和后台rce

 

修复从以漏洞升级修复为主，宝塔有漏洞，就修复宝塔。phpcms有漏洞就修漏洞。

有弱口令改弱口令。