蓝队应急响应实战案例(一)持续更新系列

admin
admin
admin
108233
文章
90
评论
2024年5月27日00:41:34评论3 views字数 2297阅读7分39秒阅读模式

    前几天抽到了玄机平台的邀请码加之HW即将到来,出个应急响应实战系列的文章,会持续更新~ 


第一章 应急响应-Linux日志分析-入门

账号root密码linuxrz

ssh root@IP

1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割

ssh登录日志位于/var/log/secure或/var/log/auth.log文件中

查看这些文件

蓝队应急响应实战案例(一)持续更新系列
cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' |sort | uniq -c 
蓝队应急响应实战案例(一)持续更新系列
flag{192.168.200.2,192.168.200.31,192.168.200.32}

2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割

cat auth.log.1 | grep -a "Accept" | awk '{print $11}' | sort -u
蓝队应急响应实战案例(一)持续更新系列
蓝队应急响应实战案例(一)持续更新系列
flag{192.168.200.2}

3.爆破用户名字典是什么?如果有多个使用","分割

使用grep的正则表达式 过滤出用户名

grep -a  -oP '(for (invalid user )?KS+(?= from))' auth.log.1 | sort -u | uniq -c
蓝队应急响应实战案例(一)持续更新系列
flag{user,hello,root,test3,test2,test1}

4.登陆成功的IP共爆破了多少次

登录成功的ip为192.168.200.2

cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' |sort | uniq -c 
蓝队应急响应实战案例(一)持续更新系列
flag{4}

5.黑客登陆主机后新建了一个后门用户,用户名是多少

cat /etc/passwd
蓝队应急响应实战案例(一)持续更新系列
cat auth.log.1 | grep -a "new user"
蓝队应急响应实战案例(一)持续更新系列
flag{test2}

第一章 应急响应-webshell查杀-简单

简介

靶机账号密码 root xjwebshell

查看网络连接情况 开放ssh mysql、http服务

netstat -anopt
蓝队应急响应实战案例(一)持续更新系列

查看进程

蓝队应急响应实战案例(一)持续更新系列

由上图可以判断此服务器使用Apache搭建的PHP网站 所以webshell的文件类型为php文件

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

使用命令

find ./ -name "*.php" | xargs grep "eval("
蓝队应急响应实战案例(一)持续更新系列

查看第一个文件gz.php 很明显的看到flag

flag{027ccd04-5065-48b6-a32d-77c704a5e26d}
蓝队应急响应实战案例(一)持续更新系列

2.黑客使用的什么工具的shell github地址的md5 flag{md5}

查看webshell判断为哥斯拉

md5(https://github.com/BeichenDream/Godzilla)

flag{39392de3218c333f794befef07ac9257}

3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

查看./include/Db/.Mysqli.php

发现是一个隐藏的哥斯拉webshell

蓝队应急响应实战案例(一)持续更新系列

flag为md5(/var/www/html/include/Db/.Mysqli.php)

flag{aebac0e58cd6c5fad1695ee4d1ac1919}

4.黑客免杀马完整路径 md5 flag{md5}

免杀马可能使用base64进行加密 特征肯定会有GET接收参数或POST也可以当做一个过滤点

find ./ -name "*.php" | xargs grep "base"
find ./ -name "*.php" | xargs grep GET

看到异常文件./wap/top.php

蓝队应急响应实战案例(一)持续更新系列
蓝队应急响应实战案例(一)持续更新系列

内容为一个基于字符拼接的马子

蓝队应急响应实战案例(一)持续更新系列

flag为md5(/var/www/html/wap/top.php)

flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}

第一章 应急响应- Linux入侵排查-中等

简介 

账号:root 密码:linuxruqin

ssh root@IP 

1.web目录存在木马,请找到木马的密码提交

使用如下命令进行过滤文件内容有eval的文件

find ./ -name "*.php" | xargs grep "eval("
蓝队应急响应实战案例(一)持续更新系列

发现几个马子 这题的答案为1

flag{1}

2.服务器疑似存在不死马,请找到不死马的密码提交

由上一题可知 不死马的pass为5d41402abc4b2a76b9719d911017c592

解密后为hello

蓝队应急响应实战案例(一)持续更新系列
flag{hello}

3.不死马是通过哪个文件生成的,请提交文件名

由第一题命令运行的结果可知

flag{index.php}

4.黑客留下了木马文件,请找出黑客的服务器ip提交

linux下的木马文件一般为elf后缀 我们可以直接搜索elf后缀的文件

find ./ -name "*.elf"

发现文件shell(1).elf

蓝队应急响应实战案例(一)持续更新系列

将这个文件下载下来 上传云沙箱进行分析

蓝队应急响应实战案例(一)持续更新系列

发现外联至10.11.55.21 所以黑客的服务器地址为10.11.55.21

flag{10.11.55.21}

5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

执行文件shell(1).elf后执行如下命令查看进程通信情况

netstat -anopt
蓝队应急响应实战案例(一)持续更新系列

可以看到外联IP为10.11.55.21端口为3333

flag{3333}


原文始发于微信公众号(SSP安全研究):蓝队应急响应实战案例(一)持续更新系列

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月27日00:41:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   蓝队应急响应实战案例(一)持续更新系列https://cn-sec.com/archives/2779081.html

发表评论

匿名网友 填写信息