当前位置: 首页 > news >正文

第九章-NOP Team dmz-C

第九章-NOP Team dmz-C

1、攻击者通过攻击DMZ-B机器发现有密钥可以免密登录到DMZ-C机器里,,然后攻击者上传了一个挖矿程序,请将该挖矿程序的名称提交,

我们使用DMZ-B下载的私钥进行登录

image-20251023111849390

查看当前pytho版本

image-20251023112130629

启用交互式shell 伪终端

python -c 'import pty; pty.spawn("/bin/bash")'

image-20251023112250269

如果有挖矿程序,可以先看一下当前服务器上的可疑连接 netstat -ano

image-20251023113919483

tcp        0    356 10.0.10.7:22            223.160.221.152:54492   ESTABLISHED on (0.19/0/0)
tcp        0      0 10.0.10.7:22            220.250.58.102:36376    ESTABLISHED keepalive (6033.76/0/0)

第一条:

  • 本地地址:10.0.10.7:22(你的 Kali 主机)
  • 外部地址:223.160.221.152:54492(某个外部客户端)
  • 状态:ESTABLISHED → 当前活跃的 SSH 会话
  • 发送队列有 356 字节未确认数据 → 可能是你刚输入命令还没回显完

第二条:

  • 来自 220.250.58.102 的另一个 SSH 连接,保持长连接(keepalive)

我们去到 根目录 使用grep -r "keepalive" 是一个在 Linux 中用于递归搜索文件内容的命令,它的作用是:

在当前目录及其所有子目录下的文件中,查找包含 "keepalive" 这个字符串的内容

image-20251023120228156

这里的 keepaliveTCP Keep-Alive 机制的表现,表示这个 SSH 连接正在使用保活机制防止断开。

执行 grep -r "keepalive" 目的:

  1. 查看系统哪些配置启用了 keepalive?
  2. 是否有后门程序设置了长连接保活?
  3. 挖矿程序是否通过 keepalive 维持 C2 通信?

在这里发现了. Binary file opt/xmrig matches

  • opt/xmrig 是一个二进制可执行文件(不是文本脚本)
  • grep 发现这个二进制文件的内容中包含字符串 "keepalive"
  • 虽然你看不到具体内容(因为是编译后的程序),但能匹配到关键词
  1. opt/config.json: "keepalive": false,
  • 表示在路径 opt/config.json 的配置文件中,有一行设置了 "keepalive": false
  • 这个文件很可能是 xmrig 挖矿程序的配置文件

我们来看这段配置的含义:

"keepalive": false

JSON

参数 含义
keepalive 控制是否在连接矿池时启用 TCP 保活机制
false 不启用 keepalive(但仍可能通过其他方式维持连接)
lag{xmrig}

2、攻击者通过攻击DMZ-B机器发现有密钥可以免密登录到DMZ-C机器里,然后攻击者上传了一个挖矿程序,请将该挖矿的地址提交,格式 <flag{xxxxxx}>

cat opt/config.json查看这个文件

image-20251023120652956

可以看到url

flag{xmrs1.pool.cn.com:55503}

3、攻击者通过攻击DMZ-B机器发现有密钥可以免密登录到DMZ-C机器里,然后攻击者上传了一个挖矿程序,但由于DMZ-C机器是不出网的,所以攻击者通过了一种方式将流量转发了出去,请将转发的目标端口提交,格式 <flag{xxxxxx}>

我们继续翻阅这条信息 在下面看到

image-20251023120945739

这使用了socks5是常见的内网穿透/反向代理客户端(agent)配置,目的就是把被控主机的内网流量经由远端服务器转发(建立隐蔽代理隧道)。

什么是 SOCKS5,什么是内网穿透(隧道)

  • SOCKS5:一种通用代理协议(支持 TCP/UDP、可带认证),客户端把流量发给 SOCKS5 代理,代理代为访问目标主机。常见本地端口是 1080,程序如 ssh -Ddantedmicrosocks3proxy 等可以提供 SOCKS5。
  • 内网穿透 / 反向隧道:把内网主机的 TCP/端口通过一个长期的反向连接转发到公网服务器或直接建立隧道(比如 frp、nps、ngrok、gost 等)。用途是把被控主机的服务(或任意流量)暴露给攻击者或中继服务器。
flag{1080}

4、攻击者通过攻击DMZ-B机器发现有密钥可以免密登录到DMZ-C机器里,然后攻击者上传了一个挖矿程序,但由于DMZ-C机器是不出网的,所以攻击者通过了一种方式将流量转发了出去,请将用来做转发的工具的名称提交,格式 <flag{xxxxxx}>

image-20251023122216508

在opt目录下面还有其他几个文件

/opt/
├── client/ → frp 客户端目录
├── client.tar.gz → frp 客户端压缩包(备份或原始文件)
├── config.json → xmrig 挖矿程序配置文件
└── xmrig → 挖矿主程序

进入 /opt/client 后:

frpc → frp 客户端可执行程序(用于连接中继服务器)
frpc.ini → 主配置文件(精简版)
frpc_full.ini → 完整配置模板(可能包含更多功能)

rpc.ini 配置详解

你查看的内容是:

[common]
server_addr = 10.0.1.147
server_port = 7000[csocks5]
type = tcp
plugin = socks5
remote_port = 1080
  1. [common] 全局配置
  • server_addr = 10.0.1.147
    → FRP 服务端地址(即“中继服务器”或“跳板机”),位于内网
  • server_port = 7000
    → FRP 服务端监听端口(默认为 7000)

📌 这意味着:这台被入侵主机(10.0.10.7)会主动连接 10.0.1.147:7000,建立一条反向隧道。

flag{frpc}

整个流量转发过程详解(结合 DMZ-C 不出网

你提到:

“DMZ-C 机器是不出网的”

这意味着:

  • 这台主机无法直接访问外网(比如不能 curl google.com)
  • 但可以通过某些方式与内网其他机器通信

攻击者利用的就是这个突破 攻击链还原:

[公网矿池] ←→ ↑
[内网跳板机 10.0.1.147] ←—(监听 1080 Socks5)↑
[受害机 10.0.10.7 (DMZ-C)] ——→ 运行 frpc↓主动连接 10.0.1.147:7000(允许的内网通信)↓建立反向隧道(frp 隧道)↓
xmrig 使用本地配置 → socks5=10.0.1.147:1080 → 实际经由 frpc 转发

Plain text

数据流路径:

xmrig → 访问 socks5://10.0.1.147:1080 → 被 frpc 接管 → 经由 frp 隧道 → 到达矿池

5、攻击者最后通过某配置文件配置错误,从而直接可以拥有root用户权限,请将错误配置的那一行等于号后面的内容(不含空格)提交,格式 <flag{xxxxxxx}>

这里是攻击者通过提权的方式拿到了root权限一般来说常见的 提权提权就是 SUID滥用 、sudo -I、计划任务劫持

image-20251023121647814

image-20251023122302365

这里看到使用 sudo -l后现所有的都不需要密码就可以使用管理员的权限

flag{(ALL:ALL)NOPASSWD:ALL}
http://www.hskmm.com/?act=detail&tid=37270

相关文章:

  • 高级语言设计第二次作业
  • UiPath License
  • 基于伪距差分定位技术实现方案
  • vue项目浏览器内存不断增加
  • 一些变换
  • ANOMALYCLIP
  • AI 辅助开发工具
  • Go开发者必备:5款提升代码质量的顶级Linter工具
  • 函数作用域在解决 JavaScript 自定义元素类跨环境兼容问题中的应用
  • React-router v6学生管理系统笔记 - 教程
  • 2025 年东莞石排到南通物流专线公司最新推荐榜:聚焦企业专利技术、品质管控及知名客户合作案例的权威解析
  • 钡铼技术预测:未来工业AI发展的七大趋势
  • 2025 年废气处理设备厂家最新推荐榜:聚焦企业专利技术、品质管控及知名客户合作案例的权威解析
  • 2025年国产助听器品牌推荐榜:聚焦专业适配,杭州爱听科技引领国产助听新体验​
  • 2025 年PPR家装管厂家最新推荐榜:聚焦企业专利技术、品质管控及知名客户合作案例的权威解析
  • 2025 年连接器厂家最新推荐榜单:聚焦电子 / Type-C / 板对板等品类,精选领军企业助力下游企业精准选型
  • 2025 年干燥机厂家最新推荐排行榜:聚焦闪蒸 / 气流 / 沸腾 / 闭路循环等多类型设备,精选优质企业深度解析
  • 2025 年北京订制旅游 / 精品旅游 / 旅游包车 / 精品小包团旅游旅行社推荐,北京汇通清源国际旅游公司专业服务解析
  • 2025 年北京品牌设计公司最新推荐榜,聚焦企业专业能力与服务价值深度剖析
  • 2025 年报警器经销商最新推荐排行榜:深度解析优质服务商,海湾 / 青鸟 / 利达等品牌优选,郑州安创消防实力领衔
  • 2025 年最新推荐!滑石粉厂家实力排行榜,超细 / 塑料级 / 涂料级 / 造纸级 / 工业级等多类型产品优质企业全解析
  • Linux的基本操作值vi操作对与文件
  • 2025 年最新推荐灭火器维修公司权威榜单:覆盖干粉 / 水基 / 二氧化碳 / 七氟丙烷 / 锂电池灭火器维修,帮您选出专业可靠服务单位
  • 连续与间断
  • 记一次 .NET 某光放测试系统 崩溃分析
  • cookie和缓存的区别
  • 【内网渗透】第168天:基石框架篇单域架构域内应用控制成员组成用户策略信息收集环境搭建
  • 2025年常州健身房私教权威推荐榜:专业教练资质与个性化课程服务的口碑之选
  • ASP.NET Core Blazor 路由配置和导航
  • 易基因:JAR (IF13):西农陈玉林团队多组学分析揭示绵羊早期胚胎发育的分子与表观遗传调控机制|项目文章