题目描述
昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答:
1.该网站使用了__jwt__认证方式。(如有字母请全部使用小写)
2.黑客绕过验证使用的jwt中,id和username是__10087#admin__。(中间使用#号隔开,例如1#admin)
3.黑客获取webshell之后,权限是___root__?
4.黑客上传的恶意文件文件名是____1.c_____。(请提交带有文件后缀的文件名,例如x.txt)
5.黑客在服务器上编译的恶意so文件,文件名是_____looter.so____。(请提交带有文件后缀的文件名,例如x.so)
6.黑客在服务器上修改了一个配置文件,文件的绝对路径为_____/etc/pam.d/common-auth____。(请确认绝对路径后再提交)
[2021首届“陇剑杯”网络安全大赛] jwt
追踪http流,可以看到是jwt认证
搜whoami,看最后一个包,可以看到命令执行了,权限为root
https://jwt.io/解码得id和用户名
黑客曾jwt绕过登陆了id10086和10087的两个admin账号,10086没有权限执行whoami
whoami之后可以看到base64上传了一个c文件,接下来是ls命令,可以看到1.c
再向下看,looter.so为编译的恶意so文件
然后利用重定向重写配置文件/etc/pam.d/common-auth
/etc/pam.d/目录包含应用程序的PAM配置文件。