一次HTB的取證之旅

記錄一次HTB的取證旅途

本來想著學習wireshark技巧，在htb逛的時候發現一個叫做obscure靶場，感覺有意思就開干。

靶場的描述如下：

CHALLENGE DESCRIPTIONAn attacker has found a vulnerability in our web server that allows arbitrary PHP file upload in our Apache server. Suchlike, the hacker has uploaded a what seems to be like an obfuscated shell (support.php). We monitor our network 24/7 and generate logs from tcpdump (we provided the log file for the period of two minutes before we terminated the HTTP service for investigation), however, we need your help in analyzing and identifying commands the attacker wrote to understand what was compromised.

大概意思是有個webshell，然后是執行過什么什么命令，把里面的flag提取出來。

下載下來一共有三個文檔，to-do.txt內容是上述目標，supoort.php是webshell文件，pcap就是攻擊事件的包

打開pcap包，知道攻擊事件是主機收到webshell攻擊，我們可以通過在wires hark中[統計]—>[http]—>[請求]可以直觀看到數據：

那么我們可以定位該請求，過濾詞條為http.request.method eq POST

(PS：一般的webshell通過POST來進行通信，可以作為一個過濾條件

選中第一個進行追蹤http流

發現傳輸的內容做了加密處理，這時用到support.php文件，打開看下：

對函數進行個原的還

然后我們可以根據他這個加密數據的方法寫一個解密的腳本，代碼如下：

(ps:還沒有實現自動化，湊合著用了

那這樣就可以對加密的數據進行解密了

截圖可以知道入侵者執行了whoami、pwd、ls -al，還有一個暫時不知道啥東西的命令。我們要獲取的flag應該是在這個命令里。我們在ls -al中發現一個文件pwdb.kdbx文件。猜測一波暫時不知道的命令是cat pwdb.kdbx

將該內容另存為pwdb.kdbx，并用KeePass打開，提示需要密碼：

這里使用keepass2john和haskcat破解密碼：

首先需要pwdb.kdbx的哈希提取出來(圖片和文件名字不對不重要)

然后利用生成的hash進一步的操作

跑完后的結果：

打完收工，總體而言，普通難度吧。

最后厚顏無恥貼下自己的微信吧