自由攻防-Defence部分

客户喊帮忙弄一个防守手册,故有了这篇文章,后续考虑继续完善Attack。

注意事项

1、认真阅读比赛手册!!!
2、查看SSH的用户名和密码是否相同,如果是弱口令一般情况下都相同,如果很复杂那就不同。
3、检查网站登录后是否有FLAG,如果有可以让队友写好相应脚本。

4、修改相关密码(SSH、数据库、后台(最好讲登录功能破坏))
5、⭐️⭐️⭐️最关键的是!!!代码层的漏洞修复⭐️⭐️⭐️
6、大胆去问!有些时候靶场无故扣分或者出现什么问题一定要及时向旁边的工作人员提出疑问,例如判断你宕机扣分,也真的宕机了,你可以快速恢复然后找来巡视的人员跟他狡辩。然后看比赛扣分情况,有些时候被攻击一次才扣十分,然后宕机恢复扣一次200分,不要随意喊工作人员给你恢复,这就很有必要去偷奸耍滑了。

比赛除了比技术也比手段,例如某些情况下,能联网请外援也不是不可以,靶机被叛宕机偷奸耍滑也是一种技巧。某种意义上说,这些都是线下赛不成文的操作手段。

密码相关

修改密码环节尤为关键弱口令总的来说又有三部分:SSH、WEB、DATABASE,

Ssh:可以通过msf中的auxiliary/scanner/ssh/ssh_login模块进行批量自动化利用。

Web:一般情况下web都是弱口令,如果不是弱口令密码基本也一致,部分会出现成功登录后台,后台就有Flag的情况

Database:要看数据库支不支持远程连接,如果支持那弱口令也是很有用的。

修改SSH弱口令

输入passwd,然后输入新密码即可,输入新密码的时候是不可见的:

1
2
3
root@VM-0-7-ubuntu:~# passwd
Enter new UNIX password:
Retype new UNIX password:

修改Web后台弱口令

直接登录网站后台修改即可,后台密码基本是弱口令,admin或者123456啥的,即使不是也可以通过数据库进行查看。基本上大家的后台密码都是一样的。

修改数据库弱口令

方法1:

进入mysql了以后执行如下语句:

1
2
use mysql;
set password for 用户名 @localhost = password('新密码');

方法2:

使用mysqladmin,找到mysqladmin文件执行如下语句:

1
mysqladmin -u 用户名 -p 旧密码 password 新密码

备份

一般web目录为/var/www/html
如果不是的话,查看nginx/apache的配置文件
/etc/apache2/apache2.conf
/etc/apache2/sites-available/000-default.conf
/etc/nginx/conf.d/nginx.conf
/etc/nginx/nginx.conf

web源码备份

可以通过xshell连接进入机器,然后执行如下命令打包网站源码

1
tar czvf backup.tar.gz /var/www/html/*

备份了以后通过xshell进行下载

备份下来了以后可以通过使用D顿进行扫描网站源码快速发现网站中存在的webshell后门。#扫描标红的可以直接把标红的代码删了,如下图的forward_static_call_array,直接找到该函数,删掉该函数即可。如文件名明显无意义可直接将文件删除。

image-20211011215154343

也可以通过使用如下命令快速查找:

1
find /var/www/html/ -name "*.php" |xargs egrep 'assert|phpspy|system|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'

找到如下

image-20211011214640152

类似的基本为后门,可以将该函数进行删除或者修改为其他随意字符串导致功能无法进行。

如果是x.php这种看着就很没意义的文件可以直接删除,删除命令:

1
rm -f x.php

数据库备份

备份指定库:

1
mysqldump -u账号 -p密码 --socket=/var/run/mysqld/mysqld.sock --databases 要备份的数据库名称 > 保存的文件名称.sql

备份全库:

1
mysqldump -uroot -proot --all-databases > XXX.sql

恢复:

1
2
3
create database db3;
use db3;
source XXX.sql;

代码层漏洞修复

官方后门

这个基本都会遇到

方法一:D盾查杀

D盾下载:链接: https://pan.baidu.com/s/1VMUA-8Ekvbitot9YOZM1fw 密码: atcr

方法二:命令行查杀

1
find /var/www/html/ -name "*.php" |xargs egrep 'assert|phpspy|system|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval \(str_rot13|\.chr\(|\$\{\"\_P|eval\(\$\_R|file_put_contents\(\.\*\$\_|base64_decode'

方法三:查看源代码中是否有可疑代码

举个例子:

如下图是使用D盾扫描出来的一个告警且级别为3(有些时候D盾是无法扫出来,但是又确实是有那么一段非常诡异的代码)

image-20211011221312693

打开该文件(conn.php)以后代码如下所示:

image-20211011221410908

拉到最底部,发现最底部有一段非常诡异的代码,这种代码基本是混淆的PHP后门,直接删除即可。但是不要删除整个conn.php,因为这个conn.php是连接数据库的,删了就会导致网站无法正常连接数据库可能会影响服务器,导致被检查的机器认为你服务器宕机了。所以只需要删除混淆的代码即可。当然如果有能力进行恢复那么就恢复,如果没有删除即可。

PHP反序列化漏洞

根据初赛来看网信杯出题方很喜欢考反序列化,同样可以执行如下命令:

1
find /var/www/html/ -name "*.php" |xargs egrep 'unserialize'

主要是查找unserialize这个反序列化函数,找到也是同样的破坏该函数,删除或修改即可。

如:

1
2
3
4
<?php
$o = unserialize($s);
改成
$o = uxxxxxxe($s);

SQL注入

一般的SQL注入代码都大概跟下面的类似:

1
2
3
4
5
6
7
<?php
if(isset($_GET['id']))
{
$id=$_GET['id'];
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";
$result=mysql_query($sql);
$row = mysql_fetch_array($result);

着重点在5行,基本SQL注入都跟上面代码内的大同小异

一般可以将第五行的变量删除或修改

如:

1
$sql="SELECT * FROM users WHERE id='123' LIMIT 0,1";

将变量$id改写成123,这样就无法进行传参进行SQL注入。

文件上传漏洞

关于文件上传基本都会使用到move_uploaded_file这个函数,可以使用如下命令找到存在文件上传功能的地方进行破坏。

1
find /var/www/html/ -name "*.php" |xargs egrep 'move_uploaded_file'

找到以后直接将这个函数进行修改,比如随便改个”xxxxx“,即使存在漏洞,该函数已经不生效无法进行上传。故漏洞间接修复。

文件包含漏洞

同样的执行如下命令

1
find /var/www/html/ -name "*.php" |xargs egrep 'include \$\_\POST|include \$\_\GET|'

这样搜索出来可能会很多

着重关注诸如:

1
include $_GET['file']

1
include $_POST['file']

的代码,file是参数,所以是一个可控的变量,主要是要看有没有用过滤函数,如果用了过滤函数(例如:include filter($_GET[‘file’]))那就不用管。

当然如果说就是搜出来的那样,修补的方法也是可以将参数进行修改,例如原本是file参数,然后你修改成abc参数然后加@符号进行屏蔽报错,如下所示:

1
include @$_POST['abc']

即使存在漏洞,他也不知道你的漏洞参数是什么。

脚本系列

文件监控脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
# -*- coding: utf-8 -*-
#use: python file_check.py ./

import os
import hashlib
import shutil
import ntpath
import time

CWD = os.getcwd()
FILE_MD5_DICT = {}      # 文件MD5字典
ORIGIN_FILE_LIST = []

# 特殊文件路径字符串
Special_path_str = 'drops_JWI96TY7ZKNMQPDRUOSG0FLH41A3C5EXVB82'
bakstring = 'bak_EAR1IBM0JT9HZ75WU4Y3Q8KLPCX26NDFOGVS'
logstring = 'log_WMY4RVTLAJFB28960SC3KZX7EUP1IHOQN5GD'
webshellstring = 'webshell_WMY4RVTLAJFB28960SC3KZX7EUP1IHOQN5GD'
difffile = 'diff_UMTGPJO17F82K35Z0LEDA6QB9WH4IYRXVSCN'

Special_string = 'drops_log'  # 免死金牌
UNICODE_ENCODING = "utf-8"
INVALID_UNICODE_CHAR_FORMAT = r"\?%02x"

# 文件路径字典
spec_base_path = os.path.realpath(os.path.join(CWD, Special_path_str))
Special_path = {
    'bak' : os.path.realpath(os.path.join(spec_base_path, bakstring)),
    'log' : os.path.realpath(os.path.join(spec_base_path, logstring)),
    'webshell' : os.path.realpath(os.path.join(spec_base_path, webshellstring)),
    'difffile' : os.path.realpath(os.path.join(spec_base_path, difffile)),
}

def isListLike(value):
    return isinstance(value, (list, tuple, set))

# 获取Unicode编码
def getUnicode(value, encoding=None, noneToNull=False):

    if noneToNull and value is None:
        return NULL

    if isListLike(value):
        value = list(getUnicode(_, encoding, noneToNull) for _ in value)
        return value

    if isinstance(value, unicode):
        return value
    elif isinstance(value, basestring):
        while True:
            try:
                return unicode(value, encoding or UNICODE_ENCODING)
            except UnicodeDecodeError, ex:
                try:
                    return unicode(value, UNICODE_ENCODING)
                except:
                    value = value[:ex.start] + "".join(INVALID_UNICODE_CHAR_FORMAT % ord(_) for _ in value[ex.start:ex.end]) + value[ex.end:]
    else:
        try:
            return unicode(value)
        except UnicodeDecodeError:
            return unicode(str(value), errors="ignore")

# 目录创建
def mkdir_p(path):
    import errno
    try:
        os.makedirs(path)
    except OSError as exc:
        if exc.errno == errno.EEXIST and os.path.isdir(path):
            pass
        else: raise

# 获取当前所有文件路径
def getfilelist(cwd):
    filelist = []
    for root,subdirs, files in os.walk(cwd):
        for filepath in files:
            originalfile = os.path.join(root, filepath)
            if Special_path_str not in originalfile:
                filelist.append(originalfile)
    return filelist

# 计算机文件MD5值
def calcMD5(filepath):
    try:
        with open(filepath,'rb') as f:
            md5obj = hashlib.md5()
            md5obj.update(f.read())
            hash = md5obj.hexdigest()
            return hash
    except Exception, e:
        print u'[!] getmd5_error : ' + getUnicode(filepath)
        print getUnicode(e)
        try:
            ORIGIN_FILE_LIST.remove(filepath)
            FILE_MD5_DICT.pop(filepath, None)
        except KeyError, e:
            pass

# 获取所有文件MD5
def getfilemd5dict(filelist = []):
    filemd5dict = {}
    for ori_file in filelist:
        if Special_path_str not in ori_file:
            md5 = calcMD5(os.path.realpath(ori_file))
            if md5:
                filemd5dict[ori_file] = md5
    return filemd5dict

# 备份所有文件
def backup_file(filelist=[]):
    # if len(os.listdir(Special_path['bak'])) == 0:
    for filepath in filelist:
        if Special_path_str not in filepath:
            shutil.copy2(filepath, Special_path['bak'])

if __name__ == '__main__':
    print u'---------start------------'
    for value in Special_path:
        mkdir_p(Special_path[value])
    # 获取所有文件路径,并获取所有文件的MD5,同时备份所有文件
    ORIGIN_FILE_LIST = getfilelist(CWD)
    FILE_MD5_DICT = getfilemd5dict(ORIGIN_FILE_LIST)
    backup_file(ORIGIN_FILE_LIST) # TODO 备份文件可能会产生重名BUG
    print u'[*] pre work end!'
    while True:
        file_list = getfilelist(CWD)
        # 移除新上传文件
        diff_file_list = list(set(file_list) ^ set(ORIGIN_FILE_LIST))
        if len(diff_file_list) != 0:
            # import pdb;pdb.set_trace()
            for filepath in diff_file_list:
                try:
                    f = open(filepath, 'r').read()
                except Exception, e:
                    break
                if Special_string not in f:
                    try:
                        print u'[*] webshell find : ' + getUnicode(filepath)
                        shutil.move(filepath, os.path.join(Special_path['webshell'], ntpath.basename(filepath) + '.txt'))
                    except Exception as e:
                        print u'[!] move webshell error, "%s" maybe is webshell.'%getUnicode(filepath)
                    try:
                        f = open(os.path.join(Special_path['log'], 'log.txt'), 'a')
                        f.write('newfile: ' + getUnicode(filepath) + ' : ' + str(time.ctime()) + '\n')
                        f.close()
                    except Exception as e:
                        print u'[-] log error : file move error: ' + getUnicode(e)

        # 防止任意文件被修改,还原被修改文件
        md5_dict = getfilemd5dict(ORIGIN_FILE_LIST)
        for filekey in md5_dict:
            if md5_dict[filekey] != FILE_MD5_DICT[filekey]:
                try:
                    f = open(filekey, 'r').read()
                except Exception, e:
                    break
                if Special_string not in f:
                    try:
                        print u'[*] file had be change : ' + getUnicode(filekey)
                        shutil.move(filekey, os.path.join(Special_path['difffile'], ntpath.basename(filekey) + '.txt'))
                        shutil.move(os.path.join(Special_path['bak'], ntpath.basename(filekey)), filekey)
                    except Exception as e:
                        print u'[!] move webshell error, "%s" maybe is webshell.'%getUnicode(filekey)
                    try:
                        f = open(os.path.join(Special_path['log'], 'log.txt'), 'a')
                        f.write('diff_file: ' + getUnicode(filekey) + ' : ' + getUnicode(time.ctime()) + '\n')
                        f.close()
                    except Exception as e:
                        print u'[-] log error : done_diff: ' + getUnicode(filekey)
                        pass
        time.sleep(2)
        # print '[*] ' + getUnicode(time.ctime())

WAF&日志记录

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
<?php
error_reporting(0);
define('LOG_FILENAME', 'adminss.txt');
function waf() {
    if (!function_exists('getallheaders')) {
        function getallheaders() {
            foreach ($_SERVER as $name => $value) {
                if (substr($name, 0, 5) == 'HTTP_') $headers[str_replace(' ', '-', ucwords(strtolower(str_replace('_', ' ', substr($name, 5))))) ] = $value;
            }
            return $headers;
        }
    }
    $get = $_GET;
    $post = $_POST;
    $cookie = $_COOKIE;
    $header = getallheaders();
    $files = $_FILES;
    $ip = $_SERVER["REMOTE_ADDR"];
    $method = $_SERVER['REQUEST_METHOD'];
    $filepath = $_SERVER["SCRIPT_NAME"];
    //rewirte shell which uploaded by others, you can do more
    foreach ($_FILES as $key => $value) {
        $files[$key]['content'] = file_get_contents($_FILES[$key]['tmp_name']);
        file_put_contents($_FILES[$key]['tmp_name'], "virink");
    }
    unset($header); //fix a bug
    $input = array(
        "Get" => $get,
        "Post" => $post,
        "Cookie" => $cookie,
        "File" => $files,
        "Header" => $header
    );
    //deal with
    $pattern = "select|insert|update|delete|and|or|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex";
    $pattern.= "|file_put_contents|file_|fwrite|curl|system|eval|assert";
    $pattern.= "|passthru|exec|system|chroot|scandir|chgrp|\.\.|chown|shell_exec|proc_open|proc_get_status|popen|ini_alter|ini_restore";
    $pattern.= "|`|dl|openlog|syslog|readlink|symlink|popepassthru|stream_socket_server|assert|pcntl_exec";
    $vpattern = explode("|", $pattern);
    $bool = false;
    foreach ($input as $k => $v) {
        foreach ($vpattern as $value) {
            foreach ($v as $kk => $vv) {
                if (preg_match("/$value/i", $vv)) {
                    $bool = true;
                    logging($input);
                    break;
                }
            }
            if ($bool) break;
        }
        if ($bool) break;
    }
}
function logging($var) {
    file_put_contents(LOG_FILENAME, "\r\n" . time() . "\r\n" . print_r($var, true) , FILE_APPEND);
    // die() or unset($_GET) or unset($_POST) or unset($_COOKIE);
    die("error");
}
waf();
sleep(2);
?>

针对不死马

方法一:一直删除并且建同名文件夹

1
while :; do rm -f .shell.php & mkdir .shell.php; done

方法二:杀进程,需要www-data权限

1
while :; do kill -9 `ps -auxf |grep .shell.php |grep www-data |awk '{print $2}'`; done

方法三:竞争写入

1
2
3
4
5
6
<?php
set_time_limit(0);
ignore_user_abort(1);
while(1){
	file_put_contents('.shell.php','fucku');
}

最后

攻击的收益大于防守,但往往认真防守,苟到最后的队伍也能取不错的名次。

祝老板天天开心

支付宝

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

资深废物,安服菜鸡<br/>常年内网迷路者<br/>非知名网络黑客<br/>专业端茶倒水选手<br/>