第一章-应急响应-Linux入侵排查

应急响应

简介

1
2
3
4
5
6
7
8
by:https://xj.edisec.net/challenges/26
账号:root 密码:linuxruqin
ssh root@IP
1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

1.web目录存在木马,请找到木马的密码提交

查找webshell

ls 发现有1.php 只是简单的一句话木马

1
flag{1}

2.服务器疑似存在不死马,请找到不死马的密码提交

grep -nr "eval" .

发现存在.shell.php和index.php都是木马且有md5密码校验

image-20240319194155774

1
2
拿去解md5 得到pass = hello
flag{hello}

3.不死马是通过哪个文件生成的,请提交文件名

通过查看index.php可知有个循环一直生成.shell.php

image-20240318224245296

1
flag{index.php}

4.黑客留下了木马文件,请找出黑客的服务器ip提交

两种方法

  • 使用情报社区

    image-20240318225533590

  • 运行查看端口

    chmod 777 shell\(1\).elf

    ./shell\(1\).elf

    image-20240318225906247netstat -ano

    image-20240318230107869

    查看前后 这个是新增的 由此可确定

1
flag{10.11.55.21}

5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

1
2
同上
flag{3333}