网站制作 网页显示不全关键词挖掘爱网站
目录
第一章linux:入侵排查
1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
第一章linux:webshell查杀
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}
第一章:Linux的日志分析
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
3.爆破用户名字典是什么?如果有多个使用","分割
4.成功登录 root 用户的 ip 一共爆破了多少次
5.黑客登陆主机后新建了一个后门用户,用户名是多少
第一章linux:入侵排查
启动环境,直接连上Xshell
1.web目录存在木马,请找到木马的密码提交
因为是web目录,直接进入到根目录
cd /var/www/html
web目录存在木马,可以用以下命令查找以jsp/php/asp/aspx结尾的文件
find ./ type f -name "*.jsp" | xargs grep "exec("find ./ type f -name "*.php" | xargs grep "eval("find ./ type f -name "*.asp" | xargs grep "execute("find ./ type f -name "*.aspx" | xargs grep "eval("根据经验,这里我先查了以php文件结尾的
这里也是直接发现了最后一个文件是一句话木马,密码是1,直接提交
flag{1}2.服务器疑似存在不死马,请找到不死马的密码提交
不死马:隐藏性强,持久性,多样化
根据不死马的特性持久性强,根据这个思路进行排查
查看计划任务:crontab -l
没有计划任务
查看启动项:
cat /etc/rc.local
查看系统启动和关闭时运行的一系列脚本文件:ls /etc/init.d/
查看和管理系统服务状态:systemctl list-unit-files --type=service
也是没有什么发现
刚才在筛选php后缀文件时发现一个shell.php ,查看一下
这个被MD5加密了,直接解密
尝试提交一下,是正确的
flag{hello}3.不死马是通过哪个文件生成的,请提交文件名
根据刚才查找php后缀文件,分析index.php
查看:cat index.php 这个文件
可以看出,这个 index.php 文件生成的不死马
flag{index.php}4.黑客留下了木马文件,请找出黑客的服务器ip提交
通过查看当前目录
发现一个shell(1).elf 文件
直接查看是一串乱码
根据题目说找到黑客的IP,说明黑客连接了这台机器
根据这个 以 elf 为后缀的文件,它是一个可执行程序
那么直接给它加权限运行
chmod 777 "shell(1).elf"./'shell(1).elf'
查看一下端口情况:
netstat -antlp | more
发现一个外部连接有一个陌生地址,这个应该是黑客的IP 和端口,直接提交
flag{10.11.55.21}5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
根据上面找到的端口直接提交
flag{3333}第一章linux:webshell查杀
开启环境,连上Xshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
先进入到根目录
直接查找危险函数:
cd /var/www/htmlfind ./ type f -name "*.jsp" | xargs grep "exec("find ./ type f -name "*.php" | xargs grep "eval("find ./ type f -name "*.asp" | xargs grep "execute("find ./ type f -name "*.aspx" | xargs grep "eval("
发现三个可疑php文件,那么一个一个分析
cat ./include/gz.php
根据前三句话,可以看出这是一个哥斯拉的webshell
下面注释有点像要提交的flag格式,试一下,正确
flag{027ccd04-5065-48b6-a32d-77c704a5e26d}2.黑客使用的什么工具的shell github地址的md5 flag{md5}
根据我们第一题分析的是一个哥斯拉webshell,要我们提交github地址,我们网上找一下
第一个就是, Godzilla地址:GitHub - BeichenDream/Godzilla: 哥斯拉
要提交地址的MD5,直接找一个在线网站加一下密MD5 在线加密工具 | 菜鸟工具 (jyshare.com)
flag{39392de3218c333f794befef07ac9257}3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
因为是隐藏的,说明不能直接通过 ls 命令查看到
这里需要用到一个命令:ls -la 可以看到隐藏的文件
在之前查找php文件的时候,发现了一个以.结尾的隐藏文件
看一下这个文件是不是隐藏的shell
cat ./include/Db/.Mysqli.php
典型的哥斯拉webshell,猜测这就是要找的,查看进入这个目录,查看路径
cd ./include/Db/
pwd
最后拼接上隐藏文件即可:
/var/www/html/include/Db/.Mysqli.php
MD5加密:
flag{aebac0e58cd6c5fad1695ee4d1ac1919}4.黑客免杀马完整路径 md5 flag{md5}
因为做了免杀,常规排查方法不可行,那么直接看日志
查看Apache2日志:位于:/var/log/apache2/access.log
cat /var/log/apache2/access.log
发现一个执行了 phpinfo() , 可能是我们要找的,但是提交了发现不对
继续往下找,又发现了一个
又发现一个
直接拼接路径加密
flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}第一章:Linux的日志分析
开启环境,连上Xshell
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
先进入日志目录:
cd /var/log直接筛选爆破失败的IP和次数
cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
直接提交
flag{192.168.200.2,192.168.200.31,192.168.200.32}2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
筛选登录成功的IP和次数
cat auth.log.1 | grep -a "Accepted " | awk '{print $11}' | sort | uniq -c | sort -nr | more
flag{192.168.200.2}3.爆破用户名字典是什么?如果有多个使用","分割
筛选登录尝试失败的用户名称
cat auth.log.1 | grep -a "Failed password" |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
flag{user,hello,root,test3,test2,test1}4.成功登录 root 用户的 ip 一共爆破了多少次
筛选以root用户爆破失败的次数
cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
发现以root用户登录失败的次数是4
flag{4}5.黑客登陆主机后新建了一个后门用户,用户名是多少
直接筛选日志中新建的用户
cat auth.log.1 |grep -a "new user"
发现有两个,两个中肯定有一个后门用户,一个一个提交试试
最后发现test2就是后门用户
flag{test2}其实还可以查看用户列表:
cat /etc/passwd一般最后一个用户即为添加的后门用户