目錄
- 前言
- 簡介
- 應急開始
- 準備工作
- 步驟 1
- 步驟 2
- 步驟 3
- 步驟 4
- 步驟5
- 總結
前言
作者這一次也是差一點一次過,因為沒有經驗的原因,或者說題目對問題描述不太對,如果說是求駭客反連的ip的話我或許就知道要執行一下留下來的那個 .elf 可疑檔案。
簡介
賬號:root 密碼:linuxruqin
ssh root@IP
1.web目錄存在木馬,請找到木馬的密碼提交
2.伺服器疑似存在不死馬,請找到不死馬的密碼提交
3.不死馬是透過哪個檔案生成的,請提交檔名
4.駭客留下了木馬檔案,請找出駭客的伺服器ip提交
5.駭客留下了木馬檔案,請找出駭客伺服器開啟的監埠提交
應急開始
準備工作
- 題目說明了web目錄下存在木馬,為了節省時間,連上伺服器後直接cd /var/www/html (不是這個的話再另外找目錄,一般是這個目錄。)
- 進入目錄後直接匯出來,準備webshell查殺工具
我這裡用D盾和河馬掃一遍
這裡使用河馬發現他每次誤報都好多,看來不更新後已經快跟不上了。
同時找到了幾個webshell檔案分別是:
- 1.php
- .shell.php
- index.php
- 注意:'shell(1).elf' 這個是反連駭客伺服器的程式檔案。
這個檔案是elf可執行檔案,名字已經很明顯了,但是我經驗比較少且比較犟,就一直看log日誌去了,沒有想到這個是反連的程式檔案,但是我主要還是題目問題描述有問題吧,要是改成反連過去的駭客ip我肯定優先執行該檔案。
步驟 1
1.web目錄存在木馬,請找到木馬的密碼提交
- webshell查殺工具掃描出來後,直接看最明顯的一句話木馬就是1.php
- flag為:
flag{1}
步驟 2
2.伺服器疑似存在不死馬,請找到不死馬的密碼提交
- 不死馬(殺不死的馬)
其實就是透過一個指令碼不停的去檢測另外一個木馬是否存在,不存在的話就建立出來,然後該檢測指令碼一般來說會定期執行去檢測另外的;不死webshell木馬是否存在。
題目使用除了1.php後,可以發現是index.php不停的去檢測和建立不死馬,建立.shell.php這個不死webshell木馬,建立.符號開頭也很明確了,就是為了建立隱藏webshell連線木馬。 - 不死馬連線密碼
5d41402abc4b2a76b9719d911017c592 == md5(hello)
- flag為:
flag{hello}
步驟 3
3.不死馬是透過哪個檔案生成的,請提交檔名
- 在步驟2中,我們已經分析出來index.php是建立不死馬的,所以flag就直接出來了。
- flag為:
flag{index.php}
步驟 4
4.駭客留下了木馬檔案,請找出駭客的伺服器ip提交
- 這裡確實是一個坑,題目要是改成:請找出反連駭客的伺服器ip,我必定先去執行一下 /var/www/html 目錄下的 'shell(1).elf' 檔案,因為很明顯了。
直接執行的話執行不了,因為沒有x執行許可權,加許可權即可:root@ip-10-0-10-1:/var/www/html# chmod +x shell\(1\).elf root@ip-10-0-10-1:/var/www/html# ./shell\(1\).elf & - netstat -alntup #檢視一下連線情況(看連線程式檔名字為.shell(1).elf的即可)
- flag為:
flag{10.11.55.21}
步驟5
5.駭客留下了木馬檔案,請找出駭客伺服器開啟的監埠提交
- 步驟4瞭解後,那麼埠號也知道了
- flag為:
flag{3333}
總結
成果:
flag{1}
flag{hello}
flag{index.php}
flag{10.11.55.21}
flag{3333}
其實將樣本備份出來後,分析完成後,應該要刪除掉伺服器上面所有webshell檔案和後門,並且進行一輪入侵排查。
做完這題的感受就是,在做應急之前的準備工作很重要,雖然這次依舊是10金幣的時間做完,但是已經相比之前快了很多,能夠逐漸熟悉整個應急流程了。其實很學到了不死馬這個詞語,說實話作者真的是菜鳥一個,好多術語名詞都沒有真正去了解和熟悉認識,透過做題來彌補也挺好。
(注:本題目在第一章中屬於中等難度,相比另外兩個題目難度大的,所以我是按照難度來做的先後順序,所以我才覺得熟練了)