直接使用vmdk文件创建虚拟机,结果弹出提示
点击全部允许之后,进不去系统,到达了initramfs页面
由于提供的vmdk文件只有1G大小,将其转回raw文件,发现有10个G的大小,再次转回vmdk,这时发现vmdk已经不是原来的1G,而是3G
使用这个文件成功进入系统,但是不知道密码,接下来重置密码
重启虚拟机,在引导页面出现是快速按方向键,选择高级模式
在高级模式中选择恢复模式
找到如图所示的 <span class="ne-text">ro recovery nomodeset</span>,将其改为 <span class="ne-text">quiet splash rw init=/bin/bash</span>
接下来按下 <span class="ne-text">Ctrl+x</span>进入系统,使用 <span class="ne-text">passwd</span>命令设置密码
重启虚拟机即可使用刚刚设置的密码登录
修改ip,使用nat模式,方便进行ssh连接,更好的查看信息
修改完使用 <span class="ne-text">dhclient</span>自动获取ip,然后查看即可
接下来就可以ssh进行连接
但是却不能连接,先去查看ssh的配置文件,找到元凶
原来是设置了禁止root使用密码登录,将值改为yes后重启ssh服务 <span class="ne-text">service ssh restart</span>
查看历史命令,发现使用了容器 <span class="ne-text">ceshi01</span>和 <span class="ne-text">shengchan01</span>
进入两个容器进行检查,发现异常php文件,这个文件用于展示接口,是一句话木马
文件处在ceshi01容器当中,那么极有可能是从这个容器进行攻击的,查看ceshi01容器的端口信息
<span class="ne-text">docker inspect ceshi01</span>
可以看到,入侵的端口应该是 <span class="ne-text">8080</span>
下面要破解原来的root密码,在重置密码前,我已经利用7zip复制出shadow中的数据
在网上搜索后发现,可以使用john来破解,这是linux下的工具,直接在虚拟机中安装即可 <span class="ne-text">apt-get install john</span>
使用命令 <span class="ne-text">john shadow文件</span>即可开始破解,这次破解花费了4分钟
解出来ubuntu用户的密码为 <span class="ne-text">1</span>,root密码为 <span class="ne-text">123465</span>,root密码已经被我们改掉了,不能测试正确性,但是可以测试用户ubuntu的密码,发现密码是正确的
启动两个容器,分别查看历史记录,发现在shengchan01中有异常
按照命令来计算md5哈希值得到 <span class="ne-text">5363d0b99d892ecda988fd58e893bfe0</span>
查看系统的登录记录,登录日期是在6月2日,只关注在这个日期修改过的文件
最后发现一个离下线很近的文件
查看发现给出了ip地址和一个elf文件,不过这个ip地址并不是正确的(这么好的ip黑客真的买得起吗)
frpc是用于内网渗透的,丢到winhex中查找111,发现了真正的ip为 <span class="ne-text">211.211.171.11</span>
最后
A=8080
B=123465
C=211.211.171.11
D=5363d0b99d892ecda988fd58e893bfe0
flag=flag{md5(A-B-C-D)}
flag=flag{md5(8080-123465-211.211.171.11-5363d0b99d892ecda988fd58e893bfe0)}
flag=flag{d098c29b838c73e0819854c05f23307d}
Original: https://www.cnblogs.com/WXjzc/p/16179905.html
Author: WXjzc
Title: 第五届蓝帽杯-溯源取证wp
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/599421/
转载文章受原作者版权保护。转载请注明原作者出处!