第二届Parloo 主线题目分析与思考

第二届Parloo 主线题目分析与思考

题目环境拓扑图

JumpServer 堡垒机：是一种位于内部网络和外部网络之间的服务器，用于管理和控制对内部网络资源的访问。堡垒机在网络中扮演着以下重要角色：

访问控制：堡垒机作为唯一的入口，可以限制用户通过堡垒机来访问内部网络资源，实现了访问控制和权限管理。用户需要经过堡垒机认证后才能进入内部网络。

安全审计：堡垒机可以记录用户的所有操作和活动，包括登录信息、命令操作等，以便进行安全审计和监控。这有助于发现潜在的安全问题和追踪用户行为。

隔离网络：通过堡垒机作为中转站，实现了内外网络的隔离。内部网络不直接暴露在公网上，提高了网络的安全性。

集中管理：堡垒机集中管理了对多个服务器的访问，管理员可以通过堡垒机统一管理和监控各类资产，简化了运维管理的复杂性。

安全防护：堡垒机可以配置严格的访问控制策略、多层认证和防火墙规则，保护内部网络免受恶意攻击和未经授权的访问。

雷池WAF：

前几个就是熟悉一下设备的使用，我们直接从应急响应2-4开始。

2-4 提交攻击者的攻击IP

查找攻击者的IP，我们应该想到攻击者一开始只能从外部网络进行攻击，所以寻找攻击者IP 就应该从web服务器开始下手。这里有WAF，所以我们可以现在WAF日志中查找，或者去web服务器日志寻找都可以。

上图是waf中攻击防护记录的所有访问情况，我们已经知道20.1 的IP是waf 本机的地址，20.108 是sshserver 地址，这里就能想到，这个sshserver 应该是被攻击者拿下了，否则这台主机不会向web服务器发送这么多攻击流量。
最后这个20.107 不在我们的拓扑中，大概率是攻击者的主机。

应急响应2-5 提交攻攻击者最早攻击时间

这个就在waf中找就可以了，我们已经确定了攻击者IP，很容易找到。

应急响应2-6 提交web服务泄露的关键文件名

先来看一下雷池waf 中防护应用配置

这里有上游服务器

如果浏览器访问example.com:80能获取到业务网站的响应，并且数据统计页的 “今日请求数” 增加，代表配置成功。
效果大致如下：

所以我们可以在部署waf的主机上查看访问网站服务器的日志
使用ps -aux 看开启哪些web服务软件

使用```sudo find / -name nginx 查看应用所在文件路径

这样就可以查看access日志文件，当然在waf 中查看也是可以的。
在access_log10中发现

应急响应2-7 题解泄露的邮箱地址

查看刚才的key文件，就能看到。

应急响应2-8 提交立足点服务器ip地址

什么是立足点服务器？
立足点服务器（Foothold Server）​​通常指攻击者通过漏洞或入侵手段控制的初始跳板服务器。
刚才分析waf 中记录的三个ip中20.108 的ip 存在对web 服务器的攻击流量，所以这个就是立足点服务器ip

应急响应2-9 提交攻击者使用的提权的用户和密码

既然知道了立足点的主机，就去该主机进行排查（sshserver）

passwd文件中存在parloo 用户，密码就是去爆破shadow文件中的加密后的密码

在真实的应急响应中，这个密码真的能爆破出来嘛。
记得删除用户 sudo userdel username。

应急响应2-10 提交攻击者留下的文件内容作为flag提交

去/home/parloo 文件下查看

应急响应2-11 提交权限维持方法服务的名称

个人认为，权限维持方法服务，这个服务能够与黑客的外网服务器进行通信的。所以可以去查看外联情况：sudo netstat -anplt

发现外网ip 47.101.213.153 端口是 8084，可以程序b4b40c44ws。
先查找这个恶意程序在哪ps -ef |grep b4b4

使用systemctl status pid查看pid 的服务状态

查看服务具体内容

应急响应2-12 提交攻击者攻击恶意服务器连接地址作为flag提交

刚才分析过了。

应急响应2-13 找到系统中被劫持的程序程序名作为flag提交

先查找
使用find / -type f -perm -u=s -ls -uid 0 2>/dev/null排查具有SUID权限的程序

使用sudo ls -alh /usr/bin /bin /usr/sbin /sbin | grep -vE 'root|staff|bin'可快速筛查系统关键目录中的异常文件

id 命令被劫持了。
也可以试试下面的脚本文件：

#!/bin/bash
# 文件名：check_suspicious_files.sh# 检测目录
DIRS="/usr/bin /bin /usr/sbin /sbin /usr/local/bin /opt"# 执行检测
sudo find $DIRS -type f $ -user ! -root -o -group ! -root $ -exec ls -alh --time-style=long-iso {} + 2>/dev/null \| awk '{printf "%-10s %-8s %-8s %-15s %s\n", $1, $3, $4, $5, $NF}' \| grep -vE 'root|staff|bin|sbin' \| while read line; doecho "[!] 发现可疑文件: $line"done# 可选：哈希校验（需预先生成基线）
# sudo find $DIRS -type f $ -user ! -root -o -group ! -root $ -exec sha256sum {} + 2>/dev/null | while read hash file; do
#   if ! grep -q "$hash" /opt/secure/file_hashes.txt; then
#     echo "[!] 哈希不匹配: $file"
#   fi
# done

应急响应2-14 找到系统中存在信息泄露的服务运行端口作为flag提交

信息泄露的服务，应该是在web 服务器中存在。应该先对web 服务器中开放的端口和服务进行信息搜集，可以使用一些扫描器进行扫描。这里用的是fscan进行扫描

这些服务都去排查一下，发现

应急响应2-15 提交Parloo公司项目经理的身份证号作为flag提交

略过

未完待续，请批评指正。