文章目录
- 1、对系统进行排查,找到漏洞点,将攻击者第一次触发漏洞时的时间作为 flag值提交,提交格式:flag{14/Apr/2022:09:10:22};
- 2、对系统进行排查,找到攻击者第一次写入服务器时的恶意文件,将恶意文件的名称以及文件中涉及到的端口号作为 flag 值提交,提交格式:flag{恶意文件名+端口号};
- 3、对系统进行排查,找到攻击者入侵系统后获取到的密码,将密码作为 flag 值提交,提交格式:flag{密码};
- 4、对系统进行排查,找出攻击者下载的恶意文件,将该文件在系统中的路径作为flag 值提交,提交格式:flag{文件路径};
- 5、对系统进行排查,找到系统中的恶意后门,将后门密码以及后门所获取到的密码作为flag值提交,提交格式:flag{后门密码+利用后门获取到的密码}。
1、对系统进行排查,找到漏洞点,将攻击者第一次触发漏洞时的时间作为 flag值提交,提交格式:flag{14/Apr/2022:09:10:22};
首先
打开靶机,进入单用户模式,配置完后重启即可
这里我使用的是kali远程连接,连接成功查看日志
日志记录太多,我们可以筛选一下黑客的ip或者get
cat access_log | grep get
在最下面就发现了黑客传参的记录,多提交几次即可
flag{21/Apr/2023:07:30:28}
2、对系统进行排查,找到攻击者第一次写入服务器时的恶意文件,将恶意文件的名称以及文件中涉及到的端口号作为 flag 值提交,提交格式:flag{恶意文件名+端口号};
根据题一可知使用的文件包含漏洞,通过分析发现黑客访问了haha这个文件
flag{haha+4545}
3、对系统进行排查,找到攻击者入侵系统后获取到的密码,将密码作为 flag 值提交,提交格式:flag{密码};
查看history发现关键点password
cat config.default.php |grep "password"
笨方法,看不懂就多提交几次
flag{2023kaka@hotel}
4、对系统进行排查,找出攻击者下载的恶意文件,将该文件在系统中的路径作为flag 值提交,提交格式:flag{文件路径};
从history里面发现一个wget和tar,分别是下载和解压,那我们跟进分析。
find / -name "mod.bz2"
可以确认mod.bz2就是黑客下载并解压的文件
flag{/root/mod.bz2}
5、对系统进行排查,找到系统中的恶意后门,将后门密码以及后门所获取到的密码作为flag值提交,提交格式:flag{后门密码+利用后门获取到的密码}。
继续分析历史命令,发现Linux-PAM-1.1.8/很可疑,定位一下,跟进看看
发现隐藏在root目录下
找到用于账户验证的c文件
cat pam_unix_auth.c
代码审计一下可知后门密码为success,tmp目录下pwd文件保持了用户名和密码。
cat /tmp/.pwd
flag{success+iwatch@@123}