应急响应靶机——easy溯源
载入虚拟机,开启虚拟机:
(账户密码:zgsfsys/zgsfsys)
解题程序.exe是额外下载解压得到的:
1. 攻击者内网跳板机IP地址
2. 攻击者服务器地址
3. 存在漏洞的服务(提示:7个字符)
4. 攻击者留下的flag(格式zgsf{})
4. 攻击者邮箱地址
5. 攻击者的ID名称
桌面有个“password.txt”:
打开查看内容:
得到一些登录信息
先给重置一下root密码,因为题目没有给:
history命令查看历史命令:
发现有个base64编码的println命令,解码一下:
得到攻击者内网跳板机IP地址:192.168.11.129
先上传whoamifuck.sh,赋予执行权限:
但用了会发现好像没有后门和其他日期的登录信息,不过后面发现在/root目录下有个chuantou目录,谐音“穿透”,进入chuantou目录发现有frpc文件,一眼内网穿透工具:
查看frpc.toml文件内容:
得到攻击者服务器地址:156.66.33.66
./whoamifuck.sh -x查看进程:
发现有bt(宝塔面板),这时候想起来history命令查看命令历史的时候有“log”关键字的出现:
看到攻击者cat了jenkins.log,这个jenkins应该是个服务?
去浏览器中也可以看到搜索历史:
访问127.0.0.1:8080,发现直接可以访问(未授权访问),并且上面还有flag
得到存在漏洞的服务(提示:7个字符):jenkins
得到flag:zgsf{gongzhonghaozhigongshanfangshiyanshi}
查看了一会宝塔面板的一些内容,没发现是可疑的信息,桌面上的password.txt文件的内容也只是对应面板用户的账户密码:
第四、五题需要通过Github溯源,但是出了点意外:
