應急響應靶機-3

Erebussss發表於2024-03-23

繼續搞第三個靶機
看看今天的問題
image
日誌裡發現了兩個Ip 192.168.75.129和192.168.75.130
image
發現一些問題這個192.168.75.129似乎一直訪問一個cmd.php?act=verify,這個操作是在爆破弱口令登入,但是一直是500意味著它並沒有登入成功!

但是192.168.75.130似乎做了一些奇怪的操作,它似乎在/zb_system/admin/member_edit.php?act=MemberNew成功訪問了,但是我未登入的時候請求返回的還是500 說明此時他已經可能提權了。
image

那他有沒有可能上傳webshell呢?我們把網站根目錄複製下來,D盾掃描一下,確實發現了一些後門檔案404.php和post-safe.php,而且不僅是post-safe這個檔案,整個資料夾中都include('post-safe.php');他們都可以是後門。看一下建立時間
image
image
image
檔案建立的時間在這裡
image
這裡執行的操作確實很可能是在這裡上傳了檔案,但是這裡的操作是需要登入的,說明他已經登入成功了,後來的爆破可能就是偽裝的障眼法。

然後我們看看後門有沒有被訪問過,只要是zb_users/theme/aymFreeFive/template下面的
image
很快發現404.php被訪問了,確定攻擊者就是利用webshell後門來getshell了。

檢查隱藏使用者,這個需要在本地使用者和組裡面發現了hack6618$
image
修改一下密碼,登入進去看看
image

進去就看到了下載了404.php和一個system.bat,發現第一個flag{888666abc}
image

看看有沒有留下什麼後門?windows常見的後門有
1.啟動項後門(登錄檔,本地組策略指令碼啟動,啟動資料夾)
2.系統服務後門
3.定時任務後門
4.粘滯鍵後門
5.WMI後門
6.DLL劫持
7.com劫持
8.隱藏/克隆使用者後門
當然可能還有一些隱藏技術,比如ADS隱藏系統檔案等。比如程序注入,埠複用等
我們在任務計劃程式中找到了隱藏使用者建立的後門
image
拿到第二個flag{zgsfsys@sec}

之前我們有一個問題沒有解決,就是我們還不知道攻擊者是怎麼登入進去,並且透過web server上傳的web shell?
我們得登入進去看看這是怎麼回事?沒有密碼,我們看看官方是怎麼重置密碼登入的
可以下載nologin.php檔案到根目錄然後我們訪問一下,就可以重置了,這個方式還是相當危險的,意味著如果存在檔案上傳漏洞就可以轉化成直接獲取網站管理員許可權了。太刁了
image
登入後就發現了新使用者
image
第三個flag到手了 flag{H@Ck@sec}

最後我們看看當時駭客到底是怎麼上傳的web shell?根據日誌和檔案建立時間,攻擊者在這裡發起了請求
image
看起來像是檔案上傳漏洞,但是不知道為什麼我試了沒法上傳檔案?難道是模擬的環境是錯的?留個坑之後來回答

相關文章