应急响应靶机——WhereIS?
用户名及密码:zgsf/zgsf
下载资源还有个解题.exe:
1、攻击者的两个ip地址
2、flag1和flag2
3、后门程序进程名称
4、攻击者的提权方式(输入程序名称即可)
之前的命令:
1、攻击者的两个ip地址
先获得root权限,查看一下历史命令记录:
看样子攻击者在/桌面/tmp目录可能写了一个脚本upgrade.sh和对system.log文件进行了一些操作
赋予“开启环境.sh”执行权限:
但是发现upgrade.sh文件消失了
find命令查看upgrade.sh文件在哪
呃,应该是删掉了?先看看system.log文件在哪吧
find / -name 'system.log' 2>/dev/null
找到system.log的文件路径/home/.system_config/system.log
cat命令查看system.log文件内容:
看样子,第一个攻击者IP应该是192.168.31.64
本来想直接用grep命令搜索含有“192.168.31.64”的文件的内容的,但没反应:
grep -rnw '/' -e "192.168.31.64" 2>/dev/null
直接看看计划任务程序:
cat /etc/crontab
只有这一个任务计划程序,这应该是攻击者留下的恶意脚本,查看一下
很明显这是个反弹shell,通过 TCP 连接到192.168.31.64:1133并提供对系统的远程控制
攻击者第一个IP就是192.168.31.64
查看靶机IP时发现还有个docker,从这入手分析一下:
docker ps -a
可以看到容器有rabbitmq,webdav,phpadmin,think,nignx,mysql,而且只有webdav容器正在运行,其他容器都处于Exited状态,查询了一下相关资料:
其中thinkphp的漏洞风险更大,优先去排查该容器
启动think容器并查看是否成功启动:
docker start 1d1aa8b3f126
docker ps
进入think容器:
docker exec -it 1d1aa8b3f126 sh
ls -a
thinkphp框架的默认日志路径是:
ThinkPHP 5.1/6.x/7.x/8.x runtime/log/
ThinkPHP 3.x/5.0 runtime/Logs/
顺着路径下去访问,发现有个22.log:
查看22.log文件内容:
可以看到192.168.31.251进行恶意操作,执行远程命令,显示phpinfo
攻击者第二个IP就是192.168.31.251
答案:192.168.31.64和192.168.31.251
2、flag1和flag2
本来想直接
find / -name *flag*查找关键词“flag”
grep -Ern "\{[^\}]*\}" /查找关键词括号“{}”
但结果太多了,换种思路
先前history命令看到还进入了/home/.system_config目录,先去看看吧:
ls -a发现有个systemd_null文件,cat命令查看发现贼多信息,看不过来
没有头绪了,看看别人的WP,发现在/home目录下有个.system文件,cat命令查看一下找到flag:
找到第一个flag:
SYS{ZGSFYYDSadmin}
第二个flag也是找不到了,看了别人的WP才知道需要查看容器内文件变化:
最后在nginx容器里发现有个index.html和www.txt,这并不常见:
docker diff 2da3b55bd66c
启动nginx容器,并进去查看这两个文件内容:
docker start 2da3b55bd66c
docker exec -it 2da3b55bd66c sh
找到第二个flag:
zgsf{yerhawtigouhegih}
答案:SYS{ZGSFYYDSadmin}和zgsf{yerhawtigouhegih}
3、后门程序进程名称
上传whoamifuck.sh并赋予权限:
chmod 777 whoamifuck.sh
查看一下whoamifuck.sh的命令:
./whoamifuck.sh -h
查看是否存在的webshell文件:
./whoamifuck.sh -w /
发现存在一个peiqi.php文件,但感觉不是什么后门程序进程
根据先前的history命令看到的历史命令提及到system.log,觉得应该从这里入手:
这个命令是在后台启动一个system_null文件,并让它监听靶机的8899端口,同时将输出日志保存到system.log文件
但还有个就是systemd_null文件,并让它监听靶机的8896端口,同时将输出日志保存到system.log文件
猜测应该是打错文件名了,正确的应该是systemd_null文件,因为前面看到了有个systemd_null文件
用find命令各自检索一下文件名:
find / -name system_null
find / -name systemd_null
发现只有systemd_null文件的文件路径
先查看一下system.log文件内容:
这时候突然想起来这就是第一问的操作,那后门程序进程名就是systemd_null
答案:systemd_null
4、攻击者的提权方式(输入程序名称即可)
根据第一问和第二问通过docker容器获得的答案,猜测应该是通过docker来提权,直接journalctl _COMM=sudo > sudo.txt,使用systemd的系统查看sudo命令的历史,保存为sudo.txt文件
发现还有安装docker容器的命令,但还是那个问题,关键词“docker”太多了,没法确定,换种思路
经了解,攻击者获取到docker的权限之后是利用的容器逃逸进行的提权,而容器逃逸需要一定条件,去检查docker.sock是否可访问
find / -name docker.sock
发现有两个docker.sock,先看看第一个
ls -la /var/run/docker.sock
但docker.sock文件大小是0,有点奇怪,再看看另一个docker.sock文件:
发现文件大小也是0,可权限不太一样,但还是确定了通过docker提权
答案:docker
答案总结:
1、192.168.31.64和192.168.31.251
2、SYS{ZGSFYYDSadmin}和zgsf{yerhawtigouhegih}
3、systemd_null
4、docker
原来有提示6个字符啊,那大概都猜得出来是docker,成功攻克该靶机!
相关文章:
应急响应靶机——WhereIS?
用户名及密码:zgsf/zgsf 下载资源还有个解题.exe: 1、攻击者的两个ip地址 2、flag1和flag2 3、后门程序进程名称 4、攻击者的提权方式(输入程序名称即可) 之前的命令: 1、攻击者的两个ip地址 先获得root权限,查看一下历史命令记录&#x…...
Docke容器下JAVA系统时间与Linux服务器时间不一致问题解决办法
本篇文章主要讲解,通过docker部署jar包运行环境后出现java系统内时间与服务器、个人电脑真实时间不一致的问题原因及解决办法。 作者:任聪聪 日期:2025年5月12日 问题现象: 说明:与实际时间不符,同时与服务…...
【MCP】其他MCP服务((GitHub)
【MCP】其他MCP服务((GitHub) 1、其他MCP服务(GitHub) MCP广场:https://www.modelscope.cn/mcp 1、其他MCP服务(GitHub) 打开MCP广场 找到github服务 访问github生成令牌 先…...
)
SQL:MySQL函数:日期函数(Date Functions)
目录 时间是数据的一种类型 🧰 MySQL 常用时间函数大全 🟦 1. 获取当前时间/日期 🟦 2. 日期运算(加减) 🟦 3. 时间差计算 🟦 4. 格式化日期 🟦 5. 提取时间部分 Ƿ…...
内存 -- Linux内核内存分配机制
内存可以怎么用? kmalloc:内核最常用,用于频繁使用的小内存申请 alloc_pages:以页框为单位申请,物理内存连续 vmalloc:虚拟地址连续的内存块,物理地址不连线 dma_alloc_coherent:常…...
关于读写锁的一些理解
同一线程的两种情况: 读读: public static void main(String[] args) throws InterruptedException {ReentrantReadWriteLock lock new ReentrantReadWriteLock();Lock readLock lock.readLock();Lock writeLock lock.writeLock();readLock.lock();S…...
C++修炼:模板进阶
Hello大家好!很高兴我们又见面啦!给生活添点passion,开始今天的编程之路! 我的博客:<但凡. 我的专栏:《编程之路》、《数据结构与算法之美》、《题海拾贝》、《C修炼之路》 欢迎点赞,关注&am…...
android-ndk开发(10): use of undeclared identifier ‘pthread_getname_np‘
1. 报错描述 使用 pthread 获取线程名字, 用到 pthread_getname_np 函数。 交叉编译到 Android NDK 时链接报错 test_pthread.cpp:19:5: error: use of undeclared identifier pthread_getname_np19 | pthread_getname_np(thread_id, thread_name, sizeof(thr…...
UI自动化测试框架:PO 模式+数据驱动
🍅 点击文末小卡片,免费获取软件测试全套资料,资料在手,涨薪更快 1. PO 设计模式简介 什么是 PO 模式? PO(PageObject)设计模式将某个页面的所有元素对象定位和对元素对象的操作封装成…...
大小端的判断方法
大小端(Endianness) 是计算机存储多字节数据(如整数、浮点数)时的两种不同方式,决定了字节在内存中的排列顺序。 1. 大端(Big-Endian) 高位字节存储在低地址,低位字节存储在高地址。…...
Java笔记4
第一章 static关键字 2.1 概述 以前我们定义过如下类: public class Student {// 成员变量public String name;public char sex; // 男 女public int age;// 无参数构造方法public Student() {}// 有参数构造方法public Student(String a) {} }我们已经知道面向…...
DAY22kaggle泰坦尼克号
参考了机器学习实战进阶:泰坦尼克号乘客获救预测_天池notebook-阿里云天池 数据处理省略 直接上模型 5.12.1 一些数据的正则化 这里我们将Age和fare进行正则化: from sklearn import preprocessing scale_age_fare preprocessing.StandardScaler().…...
2025年渗透测试面试题总结-渗透测试红队面试八(题目+回答)
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。 目录 渗透测试红队面试八 二百一十一、常见中间件解析漏洞利用方式 二百一十二、MySQL用户密码存储与加密 …...
MiniMind:3块钱成本 + 2小时!训练自己的0.02B的大模型。minimind源码解读、MOE架构
大家好,我是此林。 目录 1. 前言 2. minimind模型源码解读 1. MiniMind Config部分 1.1. 基础参数 1.2. MOE配置 2. MiniMind Model 部分 2.1. MiniMindForCausalLM: 用于语言建模任务 2.2. 主干模型 MiniMindModel 2.3. MiniMindBlock: 模型的基本构建块…...
如何进行前端性能测试?--性能标准
如何进行前端性能测试?–性能标准 前端性能测试指标: 首次加载阶段 场景:用户首次访问网页,在页面还未完全呈现各种内容和功能时的体验。重要指标及原因 首次内容绘制(FCP - First Contentful Paint)…...
通信网络编程——JAVA
1.计算机网络 IP 定义与作用 :IP 地址是在网络中用于标识设备的数字标签,它允许网络中的设备之间相互定位和通信。每一个设备在特定网络环境下都有一个唯一的 IP 地址,以此来确定其在网络中的位置。 分类 :常见的 IP 地址分为 I…...
Off-Policy策略演员评论家算法SAC详解:python从零实现
引言 软演员评论家(SAC)是一种最先进的Off-Policy策略演员评论家算法,专为连续动作空间设计。它在 DDPG、TD3 的基础上进行了显著改进,并引入了最大熵强化学习的原则。其目标是学习一种策略,不仅最大化预期累积奖励&a…...
热门CPS联盟小程序聚合平台与CPA推广系统开发搭建:助力流量变现与用户增长
一、行业趋势:CPS与CPA模式成流量变现核心 在移动互联网流量红利见顶的背景下,CPS(按销售付费)和CPA(按行为付费)模式因其精准的投放效果和可控的成本,成为企业拉新与用户增长的核心工具。 CPS…...
Java学习-5.9(Thymeleaf,自动装配,自定义启动器 ))
(自用)Java学习-5.9(Thymeleaf,自动装配,自定义启动器 )
一、Thymeleaf 模板技术 片段定义与复用 <!-- 声明片段 --> <div th:fragment"b1">...</div> <!-- 插入片段 --> <div th:insert"~{bottom :: b1}"></div> <!-- 追加内容 --> <div th:replace"~{botto…...
Linux系统管理与编程15:vscode与Linux连接进行shell开发
兰生幽谷,不为莫服而不芳; 君子行义,不为莫知而止休。 【1】打开vscode 【2】点击左下角连接图标 【3】输入远程连接 选择合适的操作系统 输入密码,就进入Linux环境的shell编程了。 在vscode下面粘贴拷贝更方便。比如 然后在v…...
RabbitMQ概念详解
什么是消息队列? 消息队列是一种在应用程序之间传递消息的技术。它提供了一种异步通信模式,允许应用程序在不同的时间处理消 息。消息队列通常用于解耦应用程序,以便它们可以独立地扩展和修改。在消息队列中,消息发送者将消息发送…...
Excel-to-JSON插件专业版功能详解:让Excel数据转换更灵活
前言 在数据处理和系统集成过程中,Excel和JSON格式的转换是一个常见需求。Excel-to-JSON插件提供了一套强大的专业版功能,能够满足各种复杂的数据转换场景。本文将详细介绍这些专业版功能的应用场景和使用方法。 订阅说明 在介绍具体功能之前…...
linux基础操作5------(shell)
一.前言 本文来介绍一下linux的shell,除了最后的那个快捷键,其他的还是做一个了解就行了。 Shell: 蛋壳的意思,是linux中比较重要的一个概念,所有的命令其实都称之为shell命令。 看图解:shell就是内核的一…...
BUUCTF 大流量分析(三) 1
BUUCTF:https://buuoj.cn/challenges 文章目录 题目描述:密文:解题思路:flag: 相关阅读 CTF Wiki BUUCTF | 大流量分析 (一)(二)(三) 题目描述: …...
feign.RequestInterceptor 简介-笔记
1. feign.RequestInterceptor 简介 Feign 是一个声明式 Web 服务客户端,用于简化 HTTP 请求的编写与管理。feign.RequestInterceptor 是 Feign 提供的一个接口,用于在请求发出之前对其进行拦截和修改。这在微服务架构中非常有用,比如在请求中…...
vLLM中paged attention算子分析
简要分析vLLM中PA的代码架构和v1与v2的区别 vLLM版本:0.8.4 整体结构分析 首先从torch_bindings.cpp入手分析: 这里可以看到vLLM向pytorch中注册了两个PA算子:v1和v2 其中paged_attention_v1和paged_attention_v2分别实现在csrc/attentio…...
多样本整合Banksy空间聚类分析(Visium HD, Xenium, CosMx)
在空间数据分析中,传统的单细胞聚类算法,例如Seurat和Scanpy中的lovain和leiden等聚类算法,通常在处理空间数据时忽略了空间信息。然而,由于细胞状态受其周围细胞的影响,将转录组数据与细胞的空间信息结合起来进行聚类…...
C++:公有,保护及私有继承
从已有的类派生出新的类,而派生类继承了原有类的特征被称为类继承。下面按照访问权限分别介绍公有继承,私有继承与保护继承。 公有继承 使用公有继承,基类的公有成员将成为派生类的公有成员(派生类对象可直接调用方法)…...
ElasticSearch聚合操作案例
1、根据color分组统计销售数量 只执行聚合分组,不做复杂的聚合统计。在ES中最基础的聚合为terms,相当于 SQL中的count。 在ES中默认为分组数据做排序,使用的是doc_count数据执行降序排列。可以使用 _key元数据,根据分组后的字段数…...
使用 OAuth 2.0 保护 REST API
使用 OAuth 2.0 保护 REST API 使用 OAuth 2.0 保护 REST API1.1 不安全的api1.2 安全默认值安全默认值Spring Security 默认值 需要对所有请求进行身份验证Servlet、过滤器和调度程序安全优势 使用所有请求的安全标头进行响应缓存标头 严格传输安全标头内容类型选项需要对所有…...