ToB企服应用市场:ToB评测及商务社交产业平台

标题: 玄机靶场第一章应急响应- Linux入侵排查 [打印本页]

作者: tsx81429 时间: 2024-6-21 17:39
标题: 玄机靶场第一章应急响应- Linux入侵排查
玄机靶场第一章应急响应- Linux入侵排查

简介

1.web目次存在木马，请找到木马的密码提交
2.服务器疑似存在不死马，请找到不死马的密码提交
3.不死马是通过哪个文件生成的，请提交文件名
4.黑客留下了木马文件，请找出黑客的服务器ip提交
5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交
flag 1.web目次存在木马，请找到木马的密码提交

通过netstat -tnlp 检察起了apache服务，找到web目次 /var/www/html
通过静态查抄webshell ,找到三个文件可能为webshell，但是index文件又为默认访问文件，以是临时搁置，检察1.php文件发现连接密码为1，falg:{1}

find / -name "*.php" | xargs grep "eval("

复制代码

flag 2.服务器疑似存在不死马，请找到不死马的密码提交

不死马就是体系存在文件或计划使命会在木马被清除后仍生成木马文件，通过上述查找可以看到.shell.php文件就是由这个文件生成的，并且每隔usleep(3000)就生成一个新文件，以是达到了不死马的条件，不死马的密码是通过md5加密的，解密后得到
flag{hello}

falg 3.不死马是通过哪个文件生成的，请提交文件名

通过上述分析，可知index.php生成了’.shell,php’文件，故flag{index.php}
flag 4.黑客留下了木马文件，请找出黑客的服务器ip提交

5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

试图通过登录日记举行分析黑客的行为，发现登录日记为空且没有暴力破解的陈迹，怀疑是通过其他方式写入的webshell。

在web服务目次下，黑客留下了一个’shell.elf’文件，给他提升权限然后运行，再另开一个会话执行 netstat -atnlp
可以看到黑客服务器地点及端口。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)