当前位置：首页 > news >正文

应急响应靶机练习-Linux2

news 来源：原创 2025/8/16 0:46:47

1.背景

前景需要：看监控的时候发现webshell告警，领导让你上机检查你可以救救安服仔吗！！
挑战内容：
（1）提交攻击者IP
（2）提交攻击者修改的管理员密码(明文)
（3）提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
（4）提交Webshell连接密码
（5）提交数据包的flag1
（6）提交攻击者使用的后续上传的木马文件名称
（7）提交攻击者隐藏的flag2
（8）提交攻击者隐藏的flag3

2.环境准备

（1）创建虚拟机

（2）登录虚拟机

账号密码：root/Inch@957821.
(ps:这个密码很坑，我一开始试了很多遍都不对，密码第一个字符是大写的i，最后一个字符是点. )

（3）XShell连接虚拟机

这里使用xshell是为了方便操作，好看一点

3.开始

（1）last

发现192.168.20.1多次登录

[root@web-server ~]# last
root     pts/0        192.168.76.1     Sat Mar 15 23:48   still logged in   
root     tty1                          Sat Mar 15 23:46   still logged in   
reboot   system boot  3.10.0-1160.el7. Sat Mar 15 23:45 - 23:48  (00:02)    
root     pts/1        192.168.20.1     Wed Mar 20 15:36 - crash (360+08:09) 
root     pts/0        192.168.20.1     Wed Mar 20 15:04 - 15:39  (00:34)    
root     pts/0        192.168.20.1     Wed Mar 20 14:30 - 15:04  (00:33)    
reboot   system boot  3.10.0-1160.el7. Wed Mar 20 14:29 - 23:48 (360+09:19) 
root     pts/1        localhost        Wed Mar 20 10:30 - 10:30  (00:00)    
root     pts/0        192.168.20.1     Wed Mar 20 07:59 - crash  (06:30)    
reboot   system boot  3.10.0-1160.el7. Wed Mar 20 07:58 - 23:48 (360+15:49) 
root     pts/0        192.168.20.1     Thu Mar  7 15:36 - crash (12+16:21)  
root     pts/0        192.168.20.1     Thu Mar  7 15:25 - 15:36  (00:11)    
root     pts/0        192.168.20.1     Thu Mar  7 14:39 - 15:25  (00:45)    
root     pts/0        192.168.20.1     Thu Mar  7 14:07 - 14:09  (00:01)    
reboot   system boot  3.10.0-1160.el7. Thu Mar  7 14:06 - 23:48 (373+09:42) 
root     pts/0        192.168.20.1     Thu Mar  7 11:37 - 11:52  (00:15)    
reboot   system boot  3.10.0-1160.el7. Thu Mar  7 11:36 - 23:48 (373+12:11) 
root     pts/0        192.168.20.1     Mon Mar  4 09:48 - down   (00:01)    
root     tty1                          Mon Mar  4 09:47 - 09:50  (00:02)    
reboot   system boot  3.10.0-1160.el7. Mon Mar  4 09:47 - 09:50  (00:03)

（2）lastlog

[root@web-server ~]# lastlog
Username         Port     From             Latest
root             pts/0    192.168.76.1     Sat Mar 15 23:48:06 +0800 2025
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**
lp                                         **Never logged in**
sync                                       **Never logged in**
shutdown                                   **Never logged in**
halt                                       **Never logged in**
mail                                       **Never logged in**
operator                                   **Never logged in**
games                                      **Never logged in**
ftp                                        **Never logged in**
nobody                                     **Never logged in**
systemd-network                            **Never logged in**
dbus                                       **Never logged in**
polkitd                                    **Never logged in**
sshd                                       **Never logged in**
postfix                                    **Never logged in**
ntp                                        **Never logged in**
www                                        **Never logged in**
mysql                                      **Never logged in**

（3）grep "Failed" /var/log/secure*

[root@web-server ~]# grep "Failed" /var/log/secure*
/var/log/secure:Mar 20 15:36:25 web-server sshd[4377]: Failed password for root from 192.168.20.1 port 1378 ssh2

（4）grep "Accepted" /var/log/secure*

同（1）

[root@web-server ~]# grep "Accepted" /var/log/secure*
/var/log/secure:Mar 20 10:30:25 web-server sshd[4111]: Accepted publickey for root from 127.0.0.1 port 55976 ssh2: ED25519 SHA256:5wjncpQo9MtvNtk8t3A1CdOx2horMhYTghdrKk4ey0k
/var/log/secure:Mar 20 14:30:21 web-server sshd[2365]: Accepted password for root from 192.168.20.1 port 9509 ssh2
/var/log/secure:Mar 20 15:04:22 web-server sshd[4068]: Accepted password for root from 192.168.20.1 port 12423 ssh2
/var/log/secure:Mar 20 15:36:28 web-server sshd[4377]: Accepted password for root from 192.168.20.1 port 1378 ssh2
/var/log/secure:Mar 15 23:48:06 web-server sshd[2550]: Accepted password for root from 192.168.76.1 port 61662 ssh2
/var/log/secure-20240320:Mar  4 09:48:23 web-server sshd[8287]: Accepted password for root from 192.168.20.1 port 11035 ssh2
/var/log/secure-20240320:Mar  7 11:37:01 web-server sshd[1436]: Accepted password for root from 192.168.20.1 port 7796 ssh2
/var/log/secure-20240320:Mar  7 14:07:42 web-server sshd[2375]: Accepted password for root from 192.168.20.1 port 7322 ssh2
/var/log/secure-20240320:Mar  7 14:39:51 web-server sshd[5216]: Accepted password for root from 192.168.20.1 port 13752 ssh2
/var/log/secure-20240320:Mar  7 15:25:23 web-server sshd[5673]: Accepted password for root from 192.168.20.1 port 3129 ssh2
/var/log/secure-20240320:Mar  7 15:36:49 web-server sshd[5849]: Accepted password for root from 192.168.20.1 port 10490 ssh2
/var/log/secure-20240320:Mar 20 07:59:13 web-server sshd[2476]: Accepted password for root from 192.168.20.1 port 5237 ssh2

（5）history

history里面有很多关键信息，是很重要的命令。

[root@web-server ~]# history1  systemctl disable firewalld2  systemctl disable --now firewalld3  setenforce 04  vim5  vi /etc/sysconfig/selinux 6  poweroff7  ip a8  cd /var/9  ls10  cd ww11  cd /home/12  ls13  mysql14  yum install -y wget && wget -O install.sh https://download.bt.cn/install/install_6.0.sh && sh install.sh ed8484bec15  BT16  bt17  ls18  cd /www/19  cd wwwroot/20  ls21  cd 127.0.0.1/22  ls23  cd ..24  ls25  cd ..26  ls27  cd wwwlogs/28  ls29  cat 127.0.0.1.log 30  cd nodejs/31  ls32  cd ..33  ls34  cd tcp-error.log 35  cat tcp-error.log 36  cat nginx_error.log 37  cat access.log 38  ls39  cat 127.0.0.1.log 40  cd /www/41  ls42  cd wwwlogs/43  ls44  cat 127.0.0.1.log 45  bt46  ls47  cd /www/wwwroot/48  ls49  cd 127.0.0.1/50  ls51  rm -rf flag1 152  ls53  rm -rf version2.php 54  ls55  hardlink 56  hwclock 57  ls58  docker ps59  rm -rf pe9.sql 60  ls61  cd vendor/62  ls63  cd ..64  ls65  cd ..66  sl67  ls68  ls -a69  cd 127.0.0.1/70  ls71  ls -a72  vim .api73  ls74  ls -a75  mkdir .api76  ls77  ls -a78  cd .api/79  l80  ls81  cd ..82  ls83  cd ap84  cd api/85  ls86  cp * ../.api/87  ls88  cd ..89  ls90  cd .api/91  ls92  vim mpnotify.php 93  yum install vim94  ls95  vim  alinotify.php 96  cat /etc/shadow97  who98  w99  history100  useradd flag3{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}101  env102  $flag3 = [root@web-server .api]# useradd flag3{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}103  useradd: invalid user name 'flag3{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}'104  $flag3 = flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}105  vim /etc/profile106  source /etc/p107  source /etc/profile108  env109  history 110  q111  e112  eexir113  exit114  history 115  ls116  chmod +X go_build_untitled.exe 117  l118  chmod +x go_build_untitled.exe 119  ls120  ./go_build_untitled.exe 121  ls122  mv go_build_untitled.exe wp123  ls124  ./wp 125  passwd root126  clear 127  ./wp 128  clear 129  pwd130  ./wp

从上面18-29中多次发现/www目录，并且有127.0.0.1.log文件，可以跟webshell的访问和上传有关。

使用scp命令将虚拟机中的文件复制到本机中。

scp root@192.168.76.128:/www/wwwlogs/127.0.0.1.log D:\桌面

（6）挑战一

查看日志文件，发现几乎都是ip192.168.20.1的记录，判定是攻击者ip

（7）挑战二

要查看管理员密码，密码应该存在mysql数据中，同时，在/www网站目录查看是否存在mysql连接信息。

思路：在/www目录发现/wwwroot，因为含有root，含有配置信息可能性更大，进入/wwwroot，再进入127.0.0.1，使用命令 grep "MYSQL" -r /www/wwwroot/127.0.0.1递归搜索关键字，成功发现配置信息（PS：当然不是一开始就搜索MYSQL，是慢慢试出来的，一开始可能是mysql，Mysql等等）

成功发现mysql配置信息

连接数据库

查看数据库

选择kaoshi数据库

查看x2_user表，有多个用户，暂时无法确认哪个是管理员

查看x2_user_group表，groupid为1代表管理员，确认peadmin用户为管理员

将userpassword字段拿去md5解密，成功发现管理员密码

MD5在线解密 - 土薯在线工具Toolshu.com

（8）挑战三、挑战四

上面在127.0.0.1.log中发现很多连接的记录，怀疑是webshell的连接url但是暂时无法确定，在root目录下发现存在流量包，还是使用scp命令复制到本地进行分析

scp root@192.168.76.128:/root/数据包1.pcapng D:\桌面

过滤出HTTP协议进行分析

发现都是192.168.20.1与服务器连接

选中第一条数据进行追踪

将请求体中编码的数据进行url解码，发现存在蚁剑的特征,发现第一次连接webshell的url，webshell连接密码为Network2020(脚本中开头部分)

1. 代码特征
核心代码：蚁剑的核心代码部分来源于中国菜刀，因此其连接时的流量特征与中国菜刀较为相似。
常见函数：连接时通常会包含以下PHP函数：
@ini_set("display_errors", "0");：关闭错误显示。
@set_time_limit(0);：取消脚本执行时间限制。
@set_magic_quotes_runtime(0);：禁用魔术引号。
eval() 或 assert()：用于执行动态代码。

（9）挑战五

在流量包中发现访问了flag1

进行追踪流，发现flag1

（10）挑战六

观察发现在后半部分，攻击者使用get请求验证version2.php是否存在，后续都是使用它来进行post

追踪流，发现是冰蝎的特征，所以version2.php就是后续使用的脚本

冰蝎4.0
加密方式：支持自定义传输协议，取消了固定的连接密码，加密算法和密钥由用户自定义。
流量特征：
Accept字段为application/json, text/javascript, */*; q=0.01。
Content-Type字段为application/x-www-form-urlencoded。
使用长连接，请求头和响应头带有Connection: Keep-Alive。
固定请求头和响应头，请求头为m7nCS8n4OZG9akdDlxm6OdJevs/jYQ5/IcXK，响应头为mAUYLzmqn5QPDkyI5lvSp6DmrC24FW39Y4YsJhUqS7。
默认连接密钥为e45e329feb5d925b。

（11）挑战七

在history中看到，曾经对文件进行修改

对这两个文件进行查看（PS：是.api目录，不是api目录，需要使用ls -a命令）

[root@web-server 127.0.0.1]# pwd
/www/wwwroot/127.0.0.1
[root@web-server 127.0.0.1]# ls
api  app  data  files  index.php  lib  tasks  vendor
[root@web-server 127.0.0.1]# ls -a
.  ..  api  .api  app  data  files  index.php  lib  tasks  .user.ini  vendor
[root@web-server 127.0.0.1]# cd .api
[root@web-server .api]# ls
alinotify.php  alireturn.php  mpnotify.php  payjsnotify.php  wxnotify.php
[root@web-server .api]# cat alinotify.php

发现flag2

（12）挑战八

直接在history中看到

4.验证

[root@web-server ~]# ./wp
提交攻击者IP？
192.168.20.1
回答正确！
提交攻击者修改的管理员密码(明文)
Network@2020
回答正确！
提交第一次Webshell的连接URL（http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg）
index.php?user-app-register
回答正确！
提交Webshell连接密码
Network2020
回答正确！
提交数据包的flag1
flag1{Network@_2020_Hack}
回答正确！
提交攻击者使用的后续上传的木马文件名称
version2.php
回答正确！
提交攻击者隐藏的flag2
flag2 = "flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
回答错误！
提交攻击者隐藏的flag3
flag3 = flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
回答错误！
[root@web-server ~]# ./wp
提交攻击者IP？
192.168.20.1
回答正确！
提交攻击者修改的管理员密码(明文)
Network@2020
回答正确！
提交第一次Webshell的连接URL（http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg）
index.php?user-app-register
回答正确！
提交Webshell连接密码
Network2020
回答正确！
提交数据包的flag1
flag1{Network@_2020_Hack}
回答正确！
提交攻击者使用的后续上传的木马文件名称
version2.php
回答正确！
提交攻击者隐藏的flag2
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
回答正确！
提交攻击者隐藏的flag3
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
回答正确！