题目地址:第一章 应急响应- Linux入侵排查 · 玄机 - EDISEC
本次靶场要求提供的flag如下:
- web目录存在木马,请找到木马的密码提交
- 服务器疑似存在不死马,请找到不死马的密码提交
- 不死马是通过哪个文件生成的,请提交文件名
- 黑客留下了木马文件,请找出黑客的服务器ip提交
- 黑客留下了木马文件,请找出黑客服务器开启的监端口提交
Flag1
web目录存在木马,请找到木马的密码提交
查看80端口对应的服务,得知是apache
netstat -anp|grep 80
直接进入apache的根目录,可以看到几个一眼可疑的文件,读取1.php
得知是一句话木马
密码值是1,构造flag并提交
flag{1}
Flag2
服务器疑似存在不死马,请找到不死马的密码提交
通过下面的指令搜索有没有使用了恶意函数的php文件
find ./ -type f -name "*.php" | xargs grep "eval("
find ./ -type f -name "*.php" | xargs grep "assert("
可以看到有一个隐藏文件.shell.php
,必须通过查看隐藏文件的指令才能发现,密码是加密的md5值
ls -al
对md5值进行解密,得到webshell连接密码
构造flag并提交
flag{hello}
其实这个文件不算不死马,不死马文件在下面这个flag的解题步骤里
Flag3
不死马是通过哪个文件生成的,请提交文件名
查看webshell文件的时候发现有三个文件,.shell.php
是我们前面提到的隐藏后门文件,而这个后门文件实际是由index.php
创建而来
具体代码是下面标注的5行代码,每次用户访问index.php
文件时便会执行
- 通过
$file
指定后门文件创建路径 - 通过
$code
指定要写入文件的一句话木马 - 通过
file_put_contents()
函数创建文件,写入代码 - 修改后门文件的创建时间为2021年1月1日
- 休眠3秒
而在这个文件中,不死马对应的密码也是我们前面得到的md5值
获取该不死马的文件名构造flag提交即可
flag{index.php}
Flag4
黑客留下了木马文件,请找出黑客的服务器ip提交
查看系统网络连接,除了我的远程登陆外没有其他对外连接
netstat -antlp | more
在网站根目录下可以看到有一个shell(1).elf
文件,而elf文件是Linux系统的可执行文件,类似于Windows的exe,加上这个文件名可以判断这是个后门文件
查看文件权限发现文件不可知性,首先给文件添加一个可执行权限
chmod +x shell\(1\).elf
运行后门文件,然后再次查看网络连接,可以看到请求的黑客服务器地址和监听端口,如果是真实环境这一步应该在虚拟机或沙盒中进行,打靶场就暂时不讲究这么多了
./shell\(1\).elf
通过服务器地址构造flag
flag{10.11.55.21}
Flag5
黑客留下了木马文件,请找出黑客服务器开启的监端口提交
上一步获取的网络信息中可以知道监听端口
flag{4444}