題目描述
昨天,單位流量系統捕獲了黑客攻擊流量,請您分析流量后進行回答:
1.該網站使用了__jwt__認證方式,(如有字母請全部使用小寫)
2.黑客繞過驗證使用的jwt中,id和username是__10087#admin__,(中間使用#號隔開,例如1#admin)
3.黑客獲取webshell之后,權限是___root__?
4.黑客上傳的惡意檔案檔案名是____1.c_____,(請提交帶有檔案后綴的檔案名,例如x.txt)
5.黑客在服務器上編譯的惡意so檔案,檔案名是_____looter.so____,(請提交帶有檔案后綴的檔案名,例如x.so)
6.黑客在服務器上修改了一個組態檔,檔案的絕對路徑為_____/etc/pam.d/common-auth____,(請確認絕對路徑后再提交)
[2021首屆“隴劍杯”網路安全大賽] jwt
追蹤http流,可以看到是jwt認證

搜whoami,看最后一個包,可以看到命令執行了,權限為root

https://jwt.io/解碼得id和用戶名

黑客曾jwt繞過登陸了id10086和10087的兩個admin賬號,10086沒有權限執行whoami

whoami之后可以看到base64上傳了一個c檔案,接下來是ls命令,可以看到1.c


再向下看,looter.so為編譯的惡意so檔案

然后利用重定向重寫組態檔/etc/pam.d/common-auth
/etc/pam.d/目錄包含應用程式的PAM組態檔,

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/300974.html
標籤:其他
上一篇:《華為HCIE安全認證》學習筆記 | (十)防火墻用戶管理與認證技術
下一篇:內網滲透橫向攻擊流程
