TASK1

打开流量包,发现了一堆TCP和FTP协议的流量,所以是攻击的是FTP服务

爆破工具,所以是hydra

跟踪TCP流,用户名是jenny

筛选出ftp协议,并且找到显示登陆成功的那个响应,找到密码是password123

同样能找到工作目录是/var/www/html

后门服务是shell.php

“ftp-data” 是指FTP(文件传输协议)数据通道上的数据包。FTP协议通常使用两个通道进行通信:命令通道(control channel)和数据通道(data channel)。命令通道用于发送控制命令,而数据通道用于传输实际的文件数据。

“ftp-data” 数据包是在数据通道上传输的文件数据的捕获。

筛选ftp-data协议,可以找到上传的php的webshell,可以找到 http://pentestmonkey.net/tools/php-reverse-shell (非常著名的pentestmonkey)

跟踪GETshell.php之后的TCP流,第一个命令执行的是whoami

主机名是wir3,在shell中每一行开头就是

python3 -c ‘import pty; pty.spawn(“/bin/bash”)’

sudo su

Reptile

rootkit

TASK2

FTP爆破密码

hydra -l jenny -P /usr/share/wordlists/rockyou.txt ftp://10.10.254.51

密码是987654321

传个reverseshell上去,发现没执行成功?看了一眼流量包,是要chmod 777

python3 -c 'import pty; pty.spawn("/bin/bash")'

su jenny之后sudo su成为root

碎碎念

想打一些取证,应急响应之类的房间换换口味。这个房间还是挺简单的。