玄机靶场 - 第一章 应急响应- Linux入侵排查

题目地址：第一章 应急响应- Linux入侵排查 · 玄机 - EDISEC

本次靶场要求提供的flag如下：

1. web目录存在木马，请找到木马的密码提交
2. 服务器疑似存在不死马，请找到不死马的密码提交
3. 不死马是通过哪个文件生成的，请提交文件名
4. 黑客留下了木马文件，请找出黑客的服务器ip提交
5. 黑客留下了木马文件，请找出黑客服务器开启的监端口提交

Flag1

web目录存在木马，请找到木马的密码提交

查看80端口对应的服务，得知是apache

netstat -anp|grep 80

直接进入apache的根目录，可以看到几个一眼可疑的文件，读取1.php得知是一句话木马

密码值是1，构造flag并提交

flag{1}

Flag2

服务器疑似存在不死马，请找到不死马的密码提交

通过下面的指令搜索有没有使用了恶意函数的php文件

find ./ -type f -name "*.php" | xargs grep "eval("
find ./ -type f -name "*.php" | xargs grep "assert("

可以看到有一个隐藏文件.shell.php，必须通过查看隐藏文件的指令才能发现，密码是加密的md5值

ls -al

对md5值进行解密，得到webshell连接密码

构造flag并提交

flag{hello}

其实这个文件不算不死马，不死马文件在下面这个flag的解题步骤里

Flag3

不死马是通过哪个文件生成的，请提交文件名

查看webshell文件的时候发现有三个文件，.shell.php是我们前面提到的隐藏后门文件，而这个后门文件实际是由index.php创建而来

具体代码是下面标注的5行代码，每次用户访问index.php文件时便会执行

1. 通过$file指定后门文件创建路径
2. 通过$code指定要写入文件的一句话木马
3. 通过file_put_contents()函数创建文件，写入代码
4. 修改后门文件的创建时间为2021年1月1日
5. 休眠3秒

而在这个文件中，不死马对应的密码也是我们前面得到的md5值

获取该不死马的文件名构造flag提交即可

flag{index.php}

Flag4

黑客留下了木马文件，请找出黑客的服务器ip提交

查看系统网络连接，除了我的远程登陆外没有其他对外连接

netstat -antlp | more

在网站根目录下可以看到有一个shell(1).elf文件，而elf文件是Linux系统的可执行文件，类似于Windows的exe，加上这个文件名可以判断这是个后门文件

查看文件权限发现文件不可知性，首先给文件添加一个可执行权限

chmod +x shell\(1\).elf 

运行后门文件，然后再次查看网络连接，可以看到请求的黑客服务器地址和监听端口，如果是真实环境这一步应该在虚拟机或沙盒中进行，打靶场就暂时不讲究这么多了

./shell\(1\).elf

通过服务器地址构造flag

flag{10.11.55.21}

Flag5

黑客留下了木马文件，请找出黑客服务器开启的监端口提交

上一步获取的网络信息中可以知道监听端口

flag{4444}