【玄机-应急平台】第九章-blueteam 的小心思3

前言:

一个不错的应急平台可以练习,感谢玄机应急平台,做点笔记记录一下。

玄机应急平台:https://xj.edisec.net/

流量分析学习专栏学习!

在这里插入图片描述

[X] 🛰:ly3260344435
[X] 🐧:3260344435
[X] BiliBili:鱼影安全
[X] 公众号:鱼影安全
[X] CSDN:落寞的魚丶
[X] 知识星球:中职-高职-CTF竞赛
[X] 信息安全评估(高职)、中职网络安全、金砖比赛、世界技能大赛省选拔选拔赛竞赛培训等
欢迎师傅们交流学习~

应急响应工程师小 c 被通知服务器有对外链接请求的痕迹,并且提供给了小 c 一段 waf 上截获的数据包,请你分析对应的虚拟机环境跟数据包,找到关键字符串并且尝试修复漏洞
账号:root 密码:root123 流量包在/result.pcap

1. 审计日志,攻击者下载恶意木马文件的 ip是多少 flag{ip}

过滤http协议哇,直接看到下载了shell.php

在这里插入图片描述

FLAG:192.168.150.253

2. 审计流量包,木马文件连接密码是什么? flag{xxx}

随便找个shell.php 直接看数据包下面就有连接密码!

在这里插入图片描述

FLAG:cmd

3. 审计流量包,攻击者反弹的IP和端口是什么? flag{ip:port}

找到shell.php 找到base64去掉前两位解码即可,非常检查之前讲过这个知识点。

在这里插入图片描述

在这里插入图片描述

FLAG:192.168.150.199:4444

4. 提交黑客上传恶意文件的 md5 md5sum xxx.so

在这里插入图片描述

利用redis的主从复制上传了modules.so文件
在这里插入图片描述

使用redis进行反弹shell

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

FLAG:d41d8cd98f00b204e9800998ecf8427e

5. 攻击者在服务器内权限维持请求外部地址和恶意文件的地址flag{http://xxxxxxxxxx/xx.xxx}

看到题目就要想到计划任务,数据包中也可以看到

在这里插入图片描述

FLAG:http://192.168.150.199:88/shell.php

总结:

通过这个evil.php下载了另外一个木马shell.php,木马的密码为cmd使用.shell.phpredis配置文件和反弹shell,反弹成功.redis服务利用主从复制,整了module.so文件,然后利用这个文件进行命令执行,又反弹shell使用新的shell,进行了权限维持。期待下次再见ovo!

最近更新

  1. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-07-20 10:36:03       103 阅读
  2. Could not load dynamic library ‘cudart64_100.dll‘

    2024-07-20 10:36:03       114 阅读
  3. 在Django里面运行非项目文件

    2024-07-20 10:36:03       93 阅读
  4. Python语言-面向对象

    2024-07-20 10:36:03       99 阅读

热门阅读

  1. 数据结构之栈、队列和数组的基本概念

    2024-07-20 10:36:03       23 阅读
  2. RoCE(RDMA over Converged Ethernet)网络速率测试工具

    2024-07-20 10:36:03       27 阅读
  3. 读取 Excel 文件

    2024-07-20 10:36:03       20 阅读
  4. 实战:springboot用LocalDateTime快速替换Date

    2024-07-20 10:36:03       19 阅读
  5. Spark的部署模式

    2024-07-20 10:36:03       28 阅读
  6. Shell 构建flutter + Android 生成Apk

    2024-07-20 10:36:03       22 阅读
  7. 前端面试题日常练-day95 【Less】

    2024-07-20 10:36:03       24 阅读