概述

靶机来源:知善攻防实验室

前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!

1,提交攻击者IP

2,提交攻击者修改的管理员密码(明文)

3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)

3,提交Webshell连接密码

4,提交数据包的flag1

5,提交攻击者使用的后续上传的木马文件名称

6,提交攻击者隐藏的flag2

7,提交攻击者隐藏的flag3

题解

登录ssh,查看一下登录日志last -n 10

192.168.235.1是我本机ip,那么192.168.20.1可能是攻击者的

image

查看一下历史命令history

image

可以看到攻击者在”/www/wwwroot/127.0.0.1/“文件夹下创建了”.api”隐藏文件夹,将”api/“文件夹复制到创建的隐藏文件夹”.api”,并修改了”mpnotify.php”文件;同时看到攻击者在环境变量里写入的flag3:flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

查看一下攻击者对”mpnotify.php”写入了什么

image

这里看到攻击者修改的代码flag2:flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

由于webshell还未找出,现在看一下网络连接情况netstat -anltup

image

查看一下进程ps -ef

image

看到安装的有宝塔面板,那就直接登录宝塔,方便查看日志

由于没有宝塔密码,但我们是root权限,直接重置宝塔面板的密码即可

image

登录到宝塔面板,查看网站日志,攻击者ip确实为:192.168.20.1

image

从phpmyadmin查看攻击者修改的管理员密码为f6f6eb5ace977d7e114377cc7098b7e3​,找个在线md5碰撞之后明文为:Network@2020

image

在靶机的根目录发现了”数据包1.pcapng”

image

下载下来用wireshark打开,追踪一下http流

image

追踪的第一个http流中,请求包里面有个很明显的蚁剑特征ini_set()​,那么攻击者第一次连接webshell的url为:index.php?user-app-register​,webshell连接密码为:Network2020

继续分析数据包,发现攻击者在127.0.0.1/​目录上传了shell.php,然后又改名为version2.php

image

image

version2.php的内容如下图,很明显冰蝎webshell,对后续version2.php的流量分析也就是冰蝎流量分析,有兴趣的可以看看我上一篇文章:冰蝎流量解析-记一道集团CTF

image

在数据包中还发现攻击者访问了flag1/​目录,找到flag1:flag1{Network@_2020_Hack}

image

至此,挑战内容全部完成,如果为真实应急环境,删除所有恶意文件,封禁ip,修复漏洞即可

运行解题文件:

image