玄机-第一章 应急响应- Linux入侵排查

news/2024/12/25 1:57:16/文章来源:https://www.cnblogs.com/dhan/p/18306412

目录
  • 前言
  • 简介
  • 应急开始
    • 准备工作
    • 步骤 1
    • 步骤 2
    • 步骤 3
    • 步骤 4
    • 步骤5
  • 总结

前言

作者这一次也是差一点一次过,因为没有经验的原因,或者说题目对问题描述不太对,如果说是求黑客反连的ip的话我或许就知道要执行一下留下来的那个 .elf 可疑文件。

简介

账号:root 密码:linuxruqin
ssh root@IP
1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

应急开始

准备工作

  • 题目说明了web目录下存在木马,为了节省时间,连上服务器后直接cd /var/www/html (不是这个的话再另外找目录,一般是这个目录。)
  • 进入目录后直接导出来,准备webshell查杀工具
    我这里用D盾和河马扫一遍
    在这里插入图片描述
    在这里插入图片描述

这里使用河马发现他每次误报都好多,看来不更新后已经快跟不上了。

同时找到了几个webshell文件分别是:

  • 1.php
  • .shell.php
  • index.php
  • 注意:'shell(1).elf' 这个是反连黑客服务器的程序文件。
    这个文件是elf可执行文件,名字已经很明显了,但是我经验比较少且比较犟,就一直看log日志去了,没有想到这个是反连的程序文件,但是我主要还是题目问题描述有问题吧,要是改成反连过去的黑客ip我肯定优先执行该文件。

步骤 1

1.web目录存在木马,请找到木马的密码提交

  • webshell查杀工具扫描出来后,直接看最明显的一句话木马就是1.php
    在这里插入图片描述
  • flag为:
    flag{1}

步骤 2

2.服务器疑似存在不死马,请找到不死马的密码提交

  • 不死马(杀不死的马)
    其实就是通过一个脚本不停的去检测另外一个木马是否存在,不存在的话就创建出来,然后该检测脚本一般来说会定期执行去检测另外的;不死webshell木马是否存在。
    题目使用除了1.php后,可以发现是index.php不停的去检测和创建不死马,创建.shell.php这个不死webshell木马,创建.符号开头也很明确了,就是为了创建隐藏webshell连接木马。
  • 不死马连接密码
    在这里插入图片描述
    5d41402abc4b2a76b9719d911017c592 == md5(hello)
    在这里插入图片描述
  • flag为:
    flag{hello}

步骤 3

3.不死马是通过哪个文件生成的,请提交文件名

  • 在步骤2中,我们已经分析出来index.php是创建不死马的,所以flag就直接出来了。
  • flag为:
    flag{index.php}

步骤 4

4.黑客留下了木马文件,请找出黑客的服务器ip提交

  • 这里确实是一个坑,题目要是改成:请找出反连黑客的服务器ip,我必定先去运行一下 /var/www/html 目录下的 'shell(1).elf' 文件,因为很明显了。
    直接执行的话执行不了,因为没有x执行权限,加权限即可:
    root@ip-10-0-10-1:/var/www/html# chmod +x shell\(1\).elf
    root@ip-10-0-10-1:/var/www/html# ./shell\(1\).elf &
    
  • netstat -alntup #查看一下连接情况(看连接程序文件名字为.shell(1).elf的即可)
    在这里插入图片描述
  • flag为:
    flag{10.11.55.21}

步骤5

5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

  • 步骤4了解后,那么端口号也知道了
  • flag为:
    flag{3333}

总结


成果:
flag{1}
flag{hello}
flag{index.php}
flag{10.11.55.21}
flag{3333}


其实将样本备份出来后,分析完成后,应该要删除掉服务器上面所有webshell文件和后门,并且进行一轮入侵排查。
做完这题的感受就是,在做应急之前的准备工作很重要,虽然这次依旧是10金币的时间做完,但是已经相比之前快了很多,能够逐渐熟悉整个应急流程了。其实很学到了不死马这个词语,说实话作者真的是菜鸟一个,好多术语名词都没有真正去了解和熟悉认识,通过做题来弥补也挺好。
(注:本题目在第一章中属于中等难度,相比另外两个题目难度大的,所以我是按照难度来做的先后顺序,所以我才觉得熟练了)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/745016.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

关于Win10 Penetration系统内置kali虚拟机WSL报错的解决方法

关于Win10 Penetration系统内置kali虚拟机WSL报错的解决方法: Win10 Penetration下载地址:https://pan.baidu.com/s/16b4_j9wuK_81G4uJKhNZyA?pwd=bj7t 提取码:bj7t Win10 Penetration是什么? Windows10 Penetration Suite Toolkit within Kali Linux是一个集成了各种渗透…

JMeter上传文件接口教程—01

Content-Type: multipart/form-data; 格式步骤: 1、添加HTTP Request、填写好HOST、URL等信息,这一步如果没有接口文档参照,可以去F12或者Fiddler抓包,我们这里重点讲没有接口文档的情况下如何做, 如果除了文件以外,还有表单数据,还是需要放在Parameters里边的。 2、上传…

如何在 Android 项目中应用 OpenCV?

如何在 Android 项目中应用 OpenCV? 流程总览导入 OpenCV 库 在 Android 项目中配置 OpenCV 创建人脸识别器 识别并裁剪人脸区域 显示裁剪后的人脸图片具体实现 导入 OpenCV 库先去 OpenCV 官网下载 OpenCV 的 Android 库并解压:https://opencv.org/releases/ 在项目中点击 f…

Android 开发学习笔记

Android 开发学习笔记 基本概念 Android 应用程序由一些零散的有联系的组件组成,通过一个工程 manifest 绑定在一起。在 manifest 中,描述了每一个组件以及组件的作用,其中有 6 个组件,它们是 Android 应用程序的基石。Android 有四大组件(也有说六大组件的,外加 Intent …

Synergy键鼠跨屏幕同步

Synergy 在多台计算机之间使用单个键盘和鼠标,使用一台计算机的键盘、鼠标或触控板来控制附近的计算机,并在它们之间无缝工作 支持Windows Mac Linux 和树莓派,解放桌面空间,减少操作复杂性,多屏操作神器没错了小记 Synergy 在多台计算机之间使用单个键盘和鼠标,使用一台…

基于粒子群优化的图像融合算法matlab仿真

1.程序功能描述基于粒子群优化的图像融合算法,通过PSO优化,得到最优的图像融合权值参数,将彩色模糊图像和清晰的灰度图像进行融合获得彩色清晰图像。2.测试软件版本以及运行结果展示 MATLAB2022a版本运行 3.核心程序for it = 1:Ites(ijj)itfor i=1:Popu% 更新速度 ptls(i)…

一起学RISC-V汇编第3讲之寄存器

寄存器是处理器中最常用的处理单元,RISC-V指令的操作数除了立即数就是寄存器。 RISC-V指令集包含了多种不同类型的寄存器,用于不同目的和功能: 对于rv32imafd架构而言,包含如下寄存器:通用寄存器:32个通用整数寄存器,分别标记为x0-x31,如果是fd扩展,还有32 个独立的浮…

第三期 Plugins Function Calling

大模型的缺陷:没有最新消息:训练周期长且昂贵,GPT3.5/4的知识截至2021-9 没有真逻辑:表现出的逻辑和推理,是训练文本的统计规律,不是真正的逻辑Plugins 订机票、数学计算、日程提醒... 插件选择&使用插件的原理 通过prompt判断是否应该调用插件失败使用门槛高:用户需…

第四期 AI 编程

目标如何用 AI 辅助编程,提升工作效率 如何用 AI 快速应用和学习新技术,扩展职业边界 通过 AI 编程,洞察 AI 对各个行业的影响趋势产品与技术的联通+业务视角 =AI 全栈工程师 AI 编程 使用 AI 编程(编程目前是大模型能力最强的垂直领域),除了解决编程问题以外,更重要是建…

Linux调度器:进程优先级

一、前言 本文主要描述的是进程优先级这个概念。从用户空间来看,进程优先级就是nice value和scheduling priority,对应到内核,有静态优先级、realtime优先级、归一化优先级和动态优先级等概念,我们希望能在第二章将这些相关的概念描述清楚。为了加深理解,在第三章我们给出…

中山大学人工智能夏令营实践课

Day 0 配置wsl的 vscode环境 (速通速通!) Day 1 上午讲了中山大学的校史以及鸿蒙系统的大体介绍 感慨: 作为互联网原生的一代,是最具创造性的一代,通过我们的夏令营不仅可以锻练我们的技术能力,开发能力,沟通能力,从而让自己链接的能力超出自已的物理空间。还可以提升…

微调(Fine-Tuning)和检索增强生成(RAG)

微调(Fine-Tuning)和检索增强生成(RAG) https://www.toutiao.com/article/7386094597421810186/?log_from=21b91ee0752_17211185181952024-06-30 09:05架构笔记 微调(Fine-Tuning)过程的核心,是在新的任务和数据集上对预训练模型的参数进行微小的调整,使其能精准契合…