知攻善防 【护网训练-Linux】应急响应靶场-Easy溯源

小张是个刚入门的程序猿，在公司开发产品的时候突然被叫去应急，小张心想"早知道简历上不写会应急了"，于是call了运维小王的电话，小王说"你面试的时候不是说会应急吗？伪造简历吗？真该死。"

1. 攻击者内网跳板机IP地址

2. 攻击者服务器地址

3. 存在漏洞的服务(提示:7个字符)

4. 攻击者留下的flag(格式zgsf{})

4. 攻击者邮箱地址

5. 攻击者的ID名称

相关账号密码 Ubuntu：zgsfsys/zgsfsys

打开靶机发现桌面有个password文件

第一个网站是宝塔的后台面板

下面两个就正常的站点，那么就登录宝塔上看一下

首先是看一下日志，这个IP框框的攻击，就是他了 192.168.11.129

两个站点筛选出来都是这个IP在作祟

然后查看了一下网站的文件，没有看到什么很明显的webshell，只能在服务器上看一看其他的东西

首先看了进程和端口

没有什么异常的进程，也没有什么异常的端口，都是正常的服务，有查看了下history，发现了异常

发现了反弹shell的命令

同时历史下载了jenkins服务，我看搞这个搞了好久好像，进程里确实也有这个服务，去访问一下，开放的端是8080

访问直接进入主页了，我记得这个是要密码登录的来着，怀疑是这个浏览器有cookie，换成宿主机也是一样的，看来是有未授权了

并且给出了flag： zgsf{gongzhonghaozhigongshanfangshiyanshi}

在网上搜了一下jenkins的相关打法，有能命令执行的地方，我之前确实没在外网遇到过jenkins的漏洞所以没打过这个，没有经验，否则在看到history的时候就能立刻反应过来，因为poc很明显

访问script路径

用了这个用来回显的println，那个反弹shell的命令也用了这个。

还有最后的一些信息再翻一翻

在root的根目录发现了留下的反弹shell的脚本

在root下面发现了frp，打开配置文件有远程的IP地址

一个美国IP

后续的溯源因为github上的厂库被删了所以也无法溯源，作者的原意思是配置文件中泄露了这个IP地址最后能找到一个邮箱的

总结

1. 攻击者内网跳板机IP地址 192.168.11.129

2. 攻击者服务器地址 156.66.33.66

3. 存在漏洞的服务(提示:7个字符) jenkins

4. 攻击者留下的flag(格式zgsf{}) zgsf{gongzhonghaozhigongshanfangshiyanshi}