知攻善防应急响应靶场练习-linux2

前景需要：看监控的时候发现webshell告警，领导让你上机检查你可以救救安服仔吗！！
1,提交攻击者IP
2,提交攻击者修改的管理员密码(明文)
3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
3,提交Webshell连接密码
4,提交数据包的flag1
5,提交攻击者使用的后续上传的木马文件名称
6,提交攻击者隐藏的flag2
7,提交攻击者隐藏的flag3

相关账户密码：root/Inch@957821.

解题步骤

头一次用这个，但是我们这里不用宝塔面板做题，这里仅补充如何进入宝塔面板，官方wp默认大家会登录宝塔

1.提交攻击者IP

上来第一步，先看看此目录下有什么

发现一个数据包，拿出来看一看，发现全都是192.168.20.1向192.168.20.144的请求包，前面的返回包内容大多为登录界面内容，但似乎没有成功，猜测攻击者的ip为192.168.20.1

cat /var/log/secure		查看管理员登录情况

这里让人很怀疑，那么在统计一下登陆成功的情况，排除172网段

grep "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

可以发现除了我自己以及把靶机本机登录，只有192.168.20.1近期登录，那么我们确定其为攻击ip

2.提交攻击者修改的管理员密码(明文)

这里查看一下运行中的进程有哪些

netstat -anlupt

发现mysql服务开启着，那么差看下数据库的配置文件吧

find / -name config.inc.php（数据库常用配置文件名）

mysql账号/密码：kaoshi/5Sx8mK5ieyLPb84m
mysql -u kaoshi -p 5Sx8mK5ieyLPb84m 登录数据库

show databases;
use kaoshi;
show tables;
select * from x2_user;

得到管理员密码

3.提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)

这里直接看流量包就能做出来

4.提交Webshell连接密码

Network2020为连接密码，webshell名为shell.php，红色括起来的是webshell的内容，如下图

5.提交数据包的flag1

直接关键字查找到了

6.提交攻击者使用的后续上传的木马文件名称

这里又上传了version2.php，且在历史命令里面也出现了

我们确定其后续上传的木马文件为version2.php，且提交成功

7.提交攻击者隐藏的flag2

查看下history吧，说不准有什么忽略的

先是关闭了防火墙，然后查看了一堆文件

发现后续上传木马后后又修改了mpnotify.php和alinotify.php

alinotify.php结尾找到了flag2，

8.提交攻击者隐藏的flag3

直接看到flag3

答案

题目	答案
1.提交攻击者IP	192.168.20.1
2.提交攻击者修改的管理员密码(明文)	Network@2020
3.提交第一次Webshell的连接URL	index.php?user-app-register
4.提交Webshell连接密码	Network2020
5.提交数据包的flag1	flag
6.提交攻击者使用的后续上传的木马文件名称	version2.php
7.提交攻击者隐藏的flag2	flag
8.提交攻击者隐藏的flag3	flag

参考链接：

应急响应靶机-Linux(2)_f6f6eb5ace977d7e114377cc7098b7e3-CSDN博客

知攻善防应急靶场-Linux(2)_应急响应靶机训练-linux2-CSDN博客