玄机-第四章 windows实战-wordpress的测试报告

目录

一、测试环境

二、测试目的

三、操作过程

Flag1

Flag2

Flag3

Flag4

Flag5

Flag6

四、结论

一、测试环境

靶场介绍：国内厂商设置的玄机靶场，以应急响应题目著名。

地址：https://xj.edisec.net/challenges/54

靶机IP：52.83.40.145

环境rdp登录：Administrator xj@123456

靶机简介：

二、测试目的

熟悉wordpress流量特征，按照题目要求完成并提交flag。

三、操作过程

Flag1

靶机的web环境用小皮搭的，中间件在C:\phpstudy_pro\Extensions目录中

apache的日志大小很小，显然不是该中间件，分析nginx的日志

发现大量目录扫描的操作

在日志中，翻阅到上传文件和执行命令的记录，但是提交后，时间不对

往上翻阅日志，可以发现，黑客成功进行登录，wordpress的主题也是要登录后才能编辑，因此提交成功登录的时间为正确答案

Flag1：flag{2023:04:29 22:45:23}

Flag2

可以看到黑客攻击的记录记录了User-agent信息，浏览器版本：Firefox/110.0

Flag2：flag{Firefox/110.0}

Flag3

攻击者扫描目录，user-agent信息就是工具名称

Flag3：flag{Fuzz Faster U Fool}

Flag4

在日志中可以找到，攻击者上传的恶意文件，并且执行了系统命令，在web根目录的.x.php

找到该文件，提交文件路径为正确答案

Flag4：flag{C:\phpstudy_pro\WWW\.x.php}

Flag5

可以将www目录打包下载到本地，然后用工具扫描

扫出post.php文件有恶意代码

查看该文件，存在恶意代码，写入了.x.php的恶意文件，内容就是.x.php的一句话木马

post.php文件路径：C:\phpstudy_pro\WWW\usr\themes\default\post.php

Flag5：flag{C:\phpstudy_pro\WWW\usr\themes\default\post.php}

Flag6

在靶机翻找可疑程序，在Windows目录有360.exe，很可疑，没有360的图标和文件，只有一个exe。并且通常360也不会安装在Windows目录

将360.exe文件丢进沙箱里面查杀，发现是木马文件

但是提交360.exe，并不是正确答案

题目描述是提交启动的脚本的名字，Windows的bat脚本有这个功能

在360.exe的同级目录找到x.bat，内容是启动360.exe，提交x.bat即为正确答案

Flag6：flag{x.bat}

四、结论

靶机是wordpress，需要登录后进入后台操作。同时，wordpress插件很多，也存在很多漏洞，值得重视。排查可疑文件，根据文件创建时间、web日志排查，结合扫描工具快速应急。