小程序异性拼房广州百度网站排名优化
1.背景
前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!
挑战内容:
(1)提交攻击者IP
(2)提交攻击者修改的管理员密码(明文)
(3)提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
(4)提交Webshell连接密码
(5)提交数据包的flag1
(6)提交攻击者使用的后续上传的木马文件名称
(7)提交攻击者隐藏的flag2
(8)提交攻击者隐藏的flag3
2.环境准备
(1)创建虚拟机
(2)登录虚拟机
账号密码:root/Inch@957821.
(ps:这个密码很坑,我一开始试了很多遍都不对,密码第一个字符是大写的i,最后一个字符是点. )
(3)XShell连接虚拟机
这里使用xshell是为了方便操作,好看一点
3.开始
(1)last
发现192.168.20.1多次登录
[root@web-server ~]# last
root pts/0 192.168.76.1 Sat Mar 15 23:48 still logged in
root tty1 Sat Mar 15 23:46 still logged in
reboot system boot 3.10.0-1160.el7. Sat Mar 15 23:45 - 23:48 (00:02)
root pts/1 192.168.20.1 Wed Mar 20 15:36 - crash (360+08:09)
root pts/0 192.168.20.1 Wed Mar 20 15:04 - 15:39 (00:34)
root pts/0 192.168.20.1 Wed Mar 20 14:30 - 15:04 (00:33)
reboot system boot 3.10.0-1160.el7. Wed Mar 20 14:29 - 23:48 (360+09:19)
root pts/1 localhost Wed Mar 20 10:30 - 10:30 (00:00)
root pts/0 192.168.20.1 Wed Mar 20 07:59 - crash (06:30)
reboot system boot 3.10.0-1160.el7. Wed Mar 20 07:58 - 23:48 (360+15:49)
root pts/0 192.168.20.1 Thu Mar 7 15:36 - crash (12+16:21)
root pts/0 192.168.20.1 Thu Mar 7 15:25 - 15:36 (00:11)
root pts/0 192.168.20.1 Thu Mar 7 14:39 - 15:25 (00:45)
root pts/0 192.168.20.1 Thu Mar 7 14:07 - 14:09 (00:01)
reboot system boot 3.10.0-1160.el7. Thu Mar 7 14:06 - 23:48 (373+09:42)
root pts/0 192.168.20.1 Thu Mar 7 11:37 - 11:52 (00:15)
reboot system boot 3.10.0-1160.el7. Thu Mar 7 11:36 - 23:48 (373+12:11)
root pts/0 192.168.20.1 Mon Mar 4 09:48 - down (00:01)
root tty1 Mon Mar 4 09:47 - 09:50 (00:02)
reboot system boot 3.10.0-1160.el7. Mon Mar 4 09:47 - 09:50 (00:03)(2)lastlog
[root@web-server ~]# lastlog
Username Port From Latest
root pts/0 192.168.76.1 Sat Mar 15 23:48:06 +0800 2025
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
operator **Never logged in**
games **Never logged in**
ftp **Never logged in**
nobody **Never logged in**
systemd-network **Never logged in**
dbus **Never logged in**
polkitd **Never logged in**
sshd **Never logged in**
postfix **Never logged in**
ntp **Never logged in**
www **Never logged in**
mysql **Never logged in**
(3)grep "Failed" /var/log/secure*
[root@web-server ~]# grep "Failed" /var/log/secure*
/var/log/secure:Mar 20 15:36:25 web-server sshd[4377]: Failed password for root from 192.168.20.1 port 1378 ssh2
(4)grep "Accepted" /var/log/secure*
同(1)
[root@web-server ~]# grep "Accepted" /var/log/secure*
/var/log/secure:Mar 20 10:30:25 web-server sshd[4111]: Accepted publickey for root from 127.0.0.1 port 55976 ssh2: ED25519 SHA256:5wjncpQo9MtvNtk8t3A1CdOx2horMhYTghdrKk4ey0k
/var/log/secure:Mar 20 14:30:21 web-server sshd[2365]: Accepted password for root from 192.168.20.1 port 9509 ssh2
/var/log/secure:Mar 20 15:04:22 web-server sshd[4068]: Accepted password for root from 192.168.20.1 port 12423 ssh2
/var/log/secure:Mar 20 15:36:28 web-server sshd[4377]: Accepted password for root from 192.168.20.1 port 1378 ssh2
/var/log/secure:Mar 15 23:48:06 web-server sshd[2550]: Accepted password for root from 192.168.76.1 port 61662 ssh2
/var/log/secure-20240320:Mar 4 09:48:23 web-server sshd[8287]: Accepted password for root from 192.168.20.1 port 11035 ssh2
/var/log/secure-20240320:Mar 7 11:37:01 web-server sshd[1436]: Accepted password for root from 192.168.20.1 port 7796 ssh2
/var/log/secure-20240320:Mar 7 14:07:42 web-server sshd[2375]: Accepted password for root from 192.168.20.1 port 7322 ssh2
/var/log/secure-20240320:Mar 7 14:39:51 web-server sshd[5216]: Accepted password for root from 192.168.20.1 port 13752 ssh2
/var/log/secure-20240320:Mar 7 15:25:23 web-server sshd[5673]: Accepted password for root from 192.168.20.1 port 3129 ssh2
/var/log/secure-20240320:Mar 7 15:36:49 web-server sshd[5849]: Accepted password for root from 192.168.20.1 port 10490 ssh2
/var/log/secure-20240320:Mar 20 07:59:13 web-server sshd[2476]: Accepted password for root from 192.168.20.1 port 5237 ssh2
(5)history
history里面有很多关键信息,是很重要的命令。
[root@web-server ~]# history1 systemctl disable firewalld2 systemctl disable --now firewalld3 setenforce 04 vim5 vi /etc/sysconfig/selinux 6 poweroff7 ip a8 cd /var/9 ls10 cd ww11 cd /home/12 ls13 mysql14 yum install -y wget && wget -O install.sh https://download.bt.cn/install/install_6.0.sh && sh install.sh ed8484bec15 BT16 bt17 ls18 cd /www/19 cd wwwroot/20 ls21 cd 127.0.0.1/22 ls23 cd ..24 ls25 cd ..26 ls27 cd wwwlogs/28 ls29 cat 127.0.0.1.log 30 cd nodejs/31 ls32 cd ..33 ls34 cd tcp-error.log 35 cat tcp-error.log 36 cat nginx_error.log 37 cat access.log 38 ls39 cat 127.0.0.1.log 40 cd /www/41 ls42 cd wwwlogs/43 ls44 cat 127.0.0.1.log 45 bt46 ls47 cd /www/wwwroot/48 ls49 cd 127.0.0.1/50 ls51 rm -rf flag1 152 ls53 rm -rf version2.php 54 ls55 hardlink 56 hwclock 57 ls58 docker ps59 rm -rf pe9.sql 60 ls61 cd vendor/62 ls63 cd ..64 ls65 cd ..66 sl67 ls68 ls -a69 cd 127.0.0.1/70 ls71 ls -a72 vim .api73 ls74 ls -a75 mkdir .api76 ls77 ls -a78 cd .api/79 l80 ls81 cd ..82 ls83 cd ap84 cd api/85 ls86 cp * ../.api/87 ls88 cd ..89 ls90 cd .api/91 ls92 vim mpnotify.php 93 yum install vim94 ls95 vim alinotify.php 96 cat /etc/shadow97 who98 w99 history100 useradd flag3{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}101 env102 $flag3 = [root@web-server .api]# useradd flag3{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}103 useradd: invalid user name 'flag3{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}'104 $flag3 = flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}105 vim /etc/profile106 source /etc/p107 source /etc/profile108 env109 history 110 q111 e112 eexir113 exit114 history 115 ls116 chmod +X go_build_untitled.exe 117 l118 chmod +x go_build_untitled.exe 119 ls120 ./go_build_untitled.exe 121 ls122 mv go_build_untitled.exe wp123 ls124 ./wp 125 passwd root126 clear 127 ./wp 128 clear 129 pwd130 ./wp
从上面18-29中多次发现/www目录,并且有127.0.0.1.log文件,可以跟webshell的访问和上传有关。
使用scp命令将虚拟机中的文件复制到本机中。
scp root@192.168.76.128:/www/wwwlogs/127.0.0.1.log D:\桌面(6)挑战一
查看日志文件,发现几乎都是ip192.168.20.1的记录,判定是攻击者ip
(7)挑战二
要查看管理员密码,密码应该存在mysql数据中,同时,在/www网站目录查看是否存在mysql连接信息。
思路:在/www目录发现/wwwroot,因为含有root,含有配置信息可能性更大,进入/wwwroot,再进入127.0.0.1,使用命令 grep "MYSQL" -r /www/wwwroot/127.0.0.1递归搜索关键字,成功发现配置信息(PS:当然不是一开始就搜索MYSQL,是慢慢试出来的,一开始可能是mysql,Mysql等等)
成功发现mysql配置信息
连接数据库
查看数据库
选择kaoshi数据库
查看x2_user表,有多个用户,暂时无法确认哪个是管理员
查看x2_user_group表,groupid为1代表管理员,确认peadmin用户为管理员
将userpassword字段拿去md5解密,成功发现管理员密码
MD5在线解密 - 土薯在线工具Toolshu.com
(8)挑战三、挑战四
上面在127.0.0.1.log中发现很多连接的记录,怀疑是webshell的连接url但是暂时无法确定,在root目录下发现存在流量包,还是使用scp命令复制到本地进行分析
scp root@192.168.76.128:/root/数据包1.pcapng D:\桌面
过滤出HTTP协议进行分析
发现都是192.168.20.1与服务器连接
选中第一条数据进行追踪
将请求体中编码的数据进行url解码,发现存在蚁剑的特征,发现第一次连接webshell的url,webshell连接密码为Network2020(脚本中开头部分)
1. 代码特征
核心代码:蚁剑的核心代码部分来源于中国菜刀,因此其连接时的流量特征与中国菜刀较为相似。
常见函数:连接时通常会包含以下PHP函数:
@ini_set("display_errors", "0");:关闭错误显示。
@set_time_limit(0);:取消脚本执行时间限制。
@set_magic_quotes_runtime(0);:禁用魔术引号。
eval() 或 assert():用于执行动态代码。
(9)挑战五
在流量包中发现访问了flag1
进行追踪流,发现flag1
(10)挑战六
观察发现在后半部分,攻击者使用get请求验证version2.php是否存在,后续都是使用它来进行post
追踪流,发现是冰蝎的特征,所以version2.php就是后续使用的脚本
冰蝎4.0
加密方式:支持自定义传输协议,取消了固定的连接密码,加密算法和密钥由用户自定义。
流量特征:
Accept字段为application/json, text/javascript, */*; q=0.01。
Content-Type字段为application/x-www-form-urlencoded。
使用长连接,请求头和响应头带有Connection: Keep-Alive。
固定请求头和响应头,请求头为m7nCS8n4OZG9akdDlxm6OdJevs/jYQ5/IcXK,响应头为mAUYLzmqn5QPDkyI5lvSp6DmrC24FW39Y4YsJhUqS7。
默认连接密钥为e45e329feb5d925b。
(11)挑战七
在history中看到,曾经对文件进行修改
对这两个文件进行查看(PS:是.api目录,不是api目录,需要使用ls -a命令)
[root@web-server 127.0.0.1]# pwd
/www/wwwroot/127.0.0.1
[root@web-server 127.0.0.1]# ls
api app data files index.php lib tasks vendor
[root@web-server 127.0.0.1]# ls -a
. .. api .api app data files index.php lib tasks .user.ini vendor
[root@web-server 127.0.0.1]# cd .api
[root@web-server .api]# ls
alinotify.php alireturn.php mpnotify.php payjsnotify.php wxnotify.php
[root@web-server .api]# cat alinotify.php
发现flag2
(12)挑战八
直接在history中看到
4.验证
[root@web-server ~]# ./wp
提交攻击者IP?
192.168.20.1
回答正确!
提交攻击者修改的管理员密码(明文)
Network@2020
回答正确!
提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
index.php?user-app-register
回答正确!
提交Webshell连接密码
Network2020
回答正确!
提交数据包的flag1
flag1{Network@_2020_Hack}
回答正确!
提交攻击者使用的后续上传的木马文件名称
version2.php
回答正确!
提交攻击者隐藏的flag2
flag2 = "flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
回答错误!
提交攻击者隐藏的flag3
flag3 = flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
回答错误!
[root@web-server ~]# ./wp
提交攻击者IP?
192.168.20.1
回答正确!
提交攻击者修改的管理员密码(明文)
Network@2020
回答正确!
提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
index.php?user-app-register
回答正确!
提交Webshell连接密码
Network2020
回答正确!
提交数据包的flag1
flag1{Network@_2020_Hack}
回答正确!
提交攻击者使用的后续上传的木马文件名称
version2.php
回答正确!
提交攻击者隐藏的flag2
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
回答正确!
提交攻击者隐藏的flag3
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
回答正确!