前景需要:
看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!
题目:
1,提交攻击者IP
2,提交攻击者修改的管理员密码(明文)
3,提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
3,提交Webshell连接密码
4,提交数据包的flag1
5,提交攻击者使用的后续上传的木马文件名称
6,提交攻击者隐藏的flag2
7,提交攻击者隐藏的flag3
用户root
密码Inch@957821.
环境:linux
使用Xsell进行连接,因为原靶机不是图形化不好复制粘贴
进入之外使用history查看历史命令
发现了flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
查看当前路径发现了有个数据包
查看用户没有发现什么有用信息
发现这个靶机是利用宝塔管理
修改一下bt面板密码
找到了用户名和新密码
找到面板地址
登录该面板
用户名:uysycv5w
密码:123456
发现都是192.168.20.1的地址
发现数据库的用户和密码
用户kaoshi 密码5Sx8mK5ieyLPb84m
通过面板访问phpmyadmin
输入用户和密码
登录phpmyadmin,发现了kaoshi的数据库
在kaoshi数据库的第二页发现了x2_user用户表
不知道密码是什么加密方式,查看一下原码
发现存放密码是用modifyUserPassword加密
文件路径
/www/wwwroot/127.0.0.1/app/user/controller/register.app.php
发现modifyUserPassword函数是用md5来加密
把用户:peadmin的密码f6f6eb5ace977d7e114377cc7098b7e3
md5解密为Network@2020
md5解密网站:MD5免费在线解密破解_MD5在线加密-SOMD5
在bt的网站中新加个域名
域名为靶机ip
访问该域名发现进入了PHPCMS
登录该网站
用户peadmin
密码Network@2020
发现一句话木马
可以看到这是在注册协议和注册页面中写入
找到连接密码:Network2020
找到用户注册界面为
提交第一次Webshell的连接URL:index.php?user-app-register
xshell下载文件到本地
使用sz命令
找到flag1{Network@_2020_Hack}
提交攻击者使用的后续上传的木马文件名称
找到上传的木马文件 version.php
查看history发现攻击者可能修改了这两个文件
查看该文件的路径
在alinotify.php中找到flag2 flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
