玄机-第五章 linux实战-黑链的测试报告

目录

一、测试环境

二、测试目的

三、操作过程

Flag1

Flag2

Flag3

Flag4

四、结论

一、测试环境

靶场介绍：国内厂商设置的玄机靶场，以应急响应题目著名。

地址：https://xj.edisec.net/challenges/42

靶机IP：69.230.243.136

环境ssh登录：root xjty110pora 端口 2222

靶机简介：

二、测试目的

分析web目录，按要求找到指定文件和攻击入口，提交flag。

三、操作过程

Flag1

靶机的web目录是：/var/www/html

通过匹配：黑链 字符串，找到被添加黑链的文件：header.php

grep -rw '黑链'

Flag：flag{header.php}

Flag2

正则匹配eval函数，找到404.php中有一句话木马，是webshell

Flag2：flag{/var/www/html/usr/themes/default/404.php}

Flag3

正则匹配js文件中的eval函数，发现poc1.js文件有将一句话木马写入当前页面

find ./ -type f -name "*.js" | xargs grep "eval("

将该文件MD5加密，提交为正确答案

Flag3：flag{10c18029294fdec7b6ddab76d9367c14}

Flag4

在web目录中，找到output.pcap的流量包，将该文件下载

在靶机开启python临时web服务下载

python3 -m http.server 8888

在网页中即可下载

http://69.230.243.136:8888/output.pcap

已知注入黑链的文件是poc1.js，那么过滤包含该字符串的数据包

http contains "poc1.js"

在第二个包，发现将poc1.js包含到该页面的信息

追踪数据流发现响应包是302，进行了重定向，继续往下看

接着下一个请求，响应包就是200了，攻击入口就是这个地址：/index.php/archives/1/

Flag4：flag{/index.php/archives/1/}

四、结论

黑链会给用户很差的体验，排查黑链，可以通过关键字匹配查找被攻击的网页。Js文件很可能被用来实施此类攻击，可以通过这一特征进行排查。
在数据包中可以发现，攻击者通过cookie注入了恶意JavaScript代码并引入poc1.js文件。
排查webshell和注入黑链文件也可以将web目录导出，用杀毒软件查杀。