BugKu -- PRA -- 应急加固1
写在前面
好久没有更新文章了,今年会像我动态发的一样,会持续更新pra系列,也会从0开始参加一下AWD比赛,CTF比赛如果有机会参加,能做出来题目的话,也会把WP写到这里,不知不觉已经写了100多篇文章了,以前也没有希望大家帮我点过关注,今年希望自己的粉丝数能多多增加吧。
JS劫持
- 第一道题目比较简单,开启场景后会给到一个IP地址
使用该ip地址直接访问,会发现title是xxxx二手交易市场
随后直接跳转到另一个网站,该网站的url就是第一道题目的flag(直接复制后面会有一个斜杠,记得删除它)
黑客首次webshell 密码
登录服务器,排查第一个webshell,这里有三个方法,第一种,在/var/log/nginx/查看日志access.log能够长到上传的webshell
第二种,直接去uploads的目录中去翻找,这种方法可能会稍稍有点慢,路径为/var/www/html/public/Uploads,找到webshell文件
第三种,通过find命令查找所有后缀为php的文件,然后看一看有哪些是可疑的
find / -name *.php -print
查看这个文件,即可获得第二的flag
黑客首次入侵方式
首先我们查看进程,发现是nginx的服务
我们再次回到刚刚的查看nginx日志的地方,查看日志,通过日志能够得到首次的份正式攻击为XSS
黑客服务器的信息
这里我们需要再次查看服务器的进程,看看是否有什么可以的进程在运行,排查发现有一个1.sh的脚本(其实这里面进程只要你觉得可疑的都是需要看一看的,本人也并不是直接定位到的这里)
查看1.sh脚本,发现黑客的服务器及端口号
要这样提交
黑客的webshell2
之前第一次做题的时候,是自己一点一点翻的文件,后来看到别人写的文章是通过腾讯的web日志提取工具,感觉还是很好用的,所以这里直接用工具,提取access.log中的文件
通过查看access.log.db发现还有一个1.php
在/var/www/html/public/static/img 路径下查看1.php,得到flag
mysql
本人先是通过find命令全局查看mysql关键字,没有发现账号密码,然后就回到/vat/www/html目录下,一个文件一个文件查找,发现了一个database.php 在/var/www/html/application目录下,获取到用户名和密码
登录mysql
这里参考了其他大佬的文章,说明确实好多地方好时候有所欠缺的,需要回收用户的file权限并关闭全局日志功能,这一点是这次学到的新知识点
revoke file on *.* from 'root'@'localhost';set global general_log = off;flush privileges;
黑客的账号
这个还是比较简单的,查看/etc/passwd,发现有一个aman的账户,删除掉就行了,当然也可以不用命令,直接vim进去手动删了也是可以的
黑客篡改的命令1,2
查找/bin目录,发现ls和ps的命令下面还有一个和他们差不多的东西
使用以下命令
rm ps mv ps_ psrm ls mv ls2 lsrm /var/www/html/public/static/img/1.php修复js劫持
进入到/var/www/html文件下,查找js文件,当然这个命令只是快速做题的一种方法,我也是参考了大佬的文章,正常我是一点一点翻出来的…(菜鸡只能出苦力)
find . | xargs grep -ri '反馈
我要
反馈
