前言

哎,,再次感到misc果然还是要会点web或者re才行

这个awd会给你一个服务器需要你ssh连接起来,连起来之后需要tar下html里面的东西,然后查杀漏洞,维护,攻击别人的。

以bugku的awd为例

报名比赛后能得到一些东西,比如ip白名单,账号密码,token,虚拟ip等

ip白名单——队长加的队员ip

账号密码——一会连ssh有用(以分隔)

token——提交flag时用

虚拟ip——连ssh,注意端口是2222

使用Tabby连接

项目地址: https://tabby.sh/ 注意要下windows的(tabby基础讲解: 这里

打开后点开设置/配置与连接

屏幕截图 2024-12-20 231606

点击新建/新配置,选择ssh连接

看到一个空白页面,填写:

名称—主机—端口—用户名—密码

如下:

屏幕截图 2024-12-20 231918

然后点击新建页面旁边的那个框框,再选择刚刚建的ssh就可以开始连接了

屏幕截图 2024-12-20 232210

等一会就连接成功了

SFTP传输工具

tabby是自带sftp工具的,连接成功后在右上角就能看到

点开后能弹出服务器上的目录,如果想下载里面的一些东西可以直接点击会出现保存文件的提示,然后保存就行

如果想上传文件可以直接拖拽文件,也能点右上角的upload

html相关下载——tar命令

连接成功之后可以打包下载html里的东西了,在var/www/html里。

但是html是无法直接下的,那怎么办呢?使用tar命令

1
2
3
4
tar -czvf myfolder.tar.gz /var/www/html/*
# 这个命令会打包html里的所有东西
tar -czvf web.tar.gz ./*
# 打包当前目录下所有东西到当前文件夹下

打包完成的东西在home的一个文件夹里(这里是忘了具体在哪了。。)

然后就能看到一个myfolder.tar.gz或者web.tar.gz,直接点击保存下来就好

查找漏洞+修改+上传

保存下来的html文件夹可以用D盾来扫描漏洞,然后找到对应漏洞,修改。

这里可以直接在tabby上的服务器文件里修改,或者本地修改完再上传到服务器上

改完漏洞就能加固我们的防御了。

沙箱跑木马

我们可以利用在线沙箱来跑恶意代码,顺便让它帮我们分析一下

安恒云沙箱: 安恒云沙箱-下一代沙箱的领航者

如果是哥斯拉,蚁剑,冰蝎,天蝎,之类的常规工具可以直接分析出来

apache日志分析

常见日志文件位置

  1. Apache日志
    • 访问日志 :默认位置通常是/var/log/apache2/access.log.1(Debian/Ubuntu)或/var/log/httpd/access_log.1(CentOS/RHEL)。
    • 错误日志 :默认位置通常是/var/log/apache2/error.log.1(Debian/Ubuntu)或/var/log/httpd/error_log.1(CentOS/RHEL)。
  2. SSH日志
    • 身份验证日志 :通常位于/var/log/auth.log(Debian/Ubuntu)或/var/log/secure(CentOS/RHEL)。
  3. 系统日志
    • 系统日志 :通常位于/var/log/syslog(Debian/Ubuntu)或/var/log/messages(CentOS/RHEL)。

我们可以进入/var/log/apache2日志目录。

可以dump下来分析,也可以直接在上面筛选

需要一定的linux知识

  1. cut: 这是一个命令,用于从每一行文本中剪切出指定部分。
    • -d-: 指定分隔符为 -
    • -f 1: 指定要剪切的字段为第一个字段。
    • access.log.1: 这是要处理的日志文件的文件名或路径。
  2. uniq -c: 这个命令会从输入中删除重复的行,并且计算每行重复出现的次数。
    • -c: 会在输出中显示每行重复出现的次数。
  3. sort : 这个命令会对输入进行排序。
    • -r: 表示反向排序,即降序排列。
    • -n: 表示按照数值大小排序。
  4. head -20: 最后,这个命令会从排序后的结果中提取前 20 行。
  5. | : 管道命令符,表示前一项的输出结果作为后一项的输入