摘要:Ghazy 是网络开发新手,他创建了自己的网站,但该网站似乎存在漏洞,其中一名攻击者获得了 root 访问权限。你能帮我们检查一下这个内存转储吗?文件位置:/root/Desktop/ChallengeFile/MyW3B.7zVolatility2 命令:v
Ghazy 是网络开发新手,他创建了自己的网站,但该网站似乎存在漏洞,其中一名攻击者获得了 root 访问权限。你能帮我们检查一下这个内存转储吗?
文件位置:/root/Desktop/ChallengeFile/MyW3B.7z
Volatility2 命令:vol.pyVolatility3 命令:vol文章目录
题目链接内存转储的 Linux 内核版本是什么?是使用什么命令来运行他的网站?获取webshell的iNode地址攻击者的ip和端口?UID 值为 1000 的用户名是什么?受害者的ip?提取内存转储中内核的信息不用vol,直接strings命令匹配BOOT_IMAGE关键字即可。
strings MyW3B.vmem | grep BOOT_IMAGE
先获取当前支持系统profile,通过linux_bash获取内存中的历史命令记录。
root@ip-172-31-0-166:~/Desktop/ChallengeFile# vol.py --info | grep LinuxVolatility Foundation Volatility Framework 2.6.1LinuxUbuntu_5_4_0-150-generic_profilex64 - A Profile for Linux Ubuntu_5.4.0-150-generic_profile x64LinuxAMD64PagedMemory - Linux-specific AMD 64-bit address space.linux_aslr_shift - Automatically detect the Linux ASLR shiftlinux_banner - Prints the Linux banner informationlinux_yarascan - A shell in the Linux memory imageroot@ip-172-31-0-166:~/Desktop/ChallengeFile#root@ip-172-31-0-166:~/Desktop/ChallengeFile# vol.py -f MyW3B.vmem --profile=LinuxUbuntu_5_4_0-150-generic_profilex64 linux_bash这里的思路可以使用 linux_enumerate_files – 列出文件系统缓存引用的文件。
vol.py -f MyW3B.vmem --profile=LinuxUbuntu_5_4_0-150-generic_profilex64 linux_enumerate_files >file-inode.txt
将所有的文件iNode信息导出到文件中,再匹配可疑的php文件。
已经获取到webshell的iNode地址后,使用linux_find_file将偏移地址的文件内容导出到文件中。
vol.py -f MyW3B.vmem --profile=LinuxUbuntu_5_4_0-150-generic_profilex64 linux_find_file -i 0xffff9c4fdee03448 -O shell.php和上面一样提取passwd的iNode地址导出即可,如果不确定可以把几个passwd地址的文件内容都导出到文件。
root@ip-172-31-10-214:~/Desktop/ChallengeFile# cat file-inode.txt | grep /etc/passwd0x0 /var/lib/docker/overlay2/41da0bf7cfafbbe7d17c2852606e74f3206d12a283c35e149b5dbb549d9dc200-init/diff/etc/passwd0xffff9c5034652328 1083428 /var/lib/docker/overlay2/f72a488c286cedf99de30dd6ee7974dc0505f7a4862bd9fc72c3527721f7b737/diff/etc/passwd0xffff9c500abd7480 136565 /etc/passwd0xffff9c500abdee50 1083428 /var/lib/docker/overlay2/41da0bf7cfafbbe7d17c2852606e74f3206d12a283c35e149b5dbb549d9dc200/merged/etc/passwdroot@ip-172-31-10-214:~/Desktop/ChallengeFile#root@ip-172-31-10-214:~/Desktop/ChallengeFile# vol.py -f MyW3B.vmem --profile=LinuxUbuntu_5_4_0-150-generic_profilex64 linux_find_file -i 0xffff9c500abd7480 -O passwd来源:Web3软件开发一点号
免责声明:本站系转载,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容!