前几天抽到了玄机平台的邀请码加之HW即将到来,出个应急响应实战系列的文章,会持续更新~
第一章 应急响应-Linux日志分析-入门
账号root密码linuxrz
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
ssh登录日志位于/var/log/secure或/var/log/auth.log文件中
查看这些文件
cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' |sort | uniq -c
flag{192.168.200.2,192.168.200.31,192.168.200.32}
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
cat auth.log.1 | grep -a "Accept" | awk '{print $11}' | sort -u
flag{192.168.200.2}
3.爆破用户名字典是什么?如果有多个使用","分割
使用grep的正则表达式 过滤出用户名
grep -a -oP '(for (invalid user )?KS+(?= from))' auth.log.1 | sort -u | uniq -c
flag{user,hello,root,test3,test2,test1}
4.登陆成功的IP共爆破了多少次
登录成功的ip为192.168.200.2
cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' |sort | uniq -c
flag{4}
5.黑客登陆主机后新建了一个后门用户,用户名是多少
cat /etc/passwd
cat auth.log.1 | grep -a "new user"
flag{test2}
第一章 应急响应-webshell查杀-简单
简介
靶机账号密码 root xjwebshell
查看网络连接情况 开放ssh mysql、http服务
netstat -anopt
查看进程
由上图可以判断此服务器使用Apache搭建的PHP网站 所以webshell的文件类型为php文件
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
使用命令
find ./ -name "*.php" | xargs grep "eval("
查看第一个文件gz.php 很明显的看到flag
flag{027ccd04-5065-48b6-a32d-77c704a5e26d}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
查看webshell判断为哥斯拉
md5(https://github.com/BeichenDream/Godzilla)
flag{39392de3218c333f794befef07ac9257}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
查看./include/Db/.Mysqli.php
发现是一个隐藏的哥斯拉webshell
flag为md5(/var/www/html/include/Db/.Mysqli.php)
flag{aebac0e58cd6c5fad1695ee4d1ac1919}
4.黑客免杀马完整路径 md5 flag{md5}
免杀马可能使用base64进行加密 特征肯定会有GET接收参数或POST也可以当做一个过滤点
find ./ -name "*.php" | xargs grep "base"
find ./ -name "*.php" | xargs grep GET
看到异常文件./wap/top.php
内容为一个基于字符拼接的马子
flag为md5(/var/www/html/wap/top.php)
flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}
第一章 应急响应- Linux入侵排查-中等
简介
账号:root 密码:linuxruqin
ssh root@IP
1.web目录存在木马,请找到木马的密码提交
使用如下命令进行过滤文件内容有eval的文件
find ./ -name "*.php" | xargs grep "eval("
发现几个马子 这题的答案为1
flag{1}
2.服务器疑似存在不死马,请找到不死马的密码提交
由上一题可知 不死马的pass为5d41402abc4b2a76b9719d911017c592
解密后为hello
flag{hello}
3.不死马是通过哪个文件生成的,请提交文件名
由第一题命令运行的结果可知
flag{index.php}
4.黑客留下了木马文件,请找出黑客的服务器ip提交
linux下的木马文件一般为elf后缀 我们可以直接搜索elf后缀的文件
find ./ -name "*.elf"
发现文件shell(1).elf
将这个文件下载下来 上传云沙箱进行分析
发现外联至10.11.55.21 所以黑客的服务器地址为10.11.55.21
flag{10.11.55.21}
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
执行文件shell(1).elf后执行如下命令查看进程通信情况
netstat -anopt
可以看到外联IP为10.11.55.21端口为3333
flag{3333}
原文始发于微信公众号(SSP安全研究):蓝队应急响应实战案例(一)持续更新系列
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论