应急靶场(12):【玄机】Linux入侵排查

admin 2024年9月17日16:26:06评论11 views字数 903阅读3分0秒阅读模式

题目

  1. web目录存在木马,请找到木马的密码提交
  2. 服务器疑似存在不死马,请找到不死马的密码提交
  3. 不死马是通过哪个文件生成的,请提交文件名
  4. 黑客留下了木马文件,请找出黑客的服务器ip提交
  5. 黑客留下了木马文件,请找出黑客服务器开启的监端口提交

靶场地址:https://xj.edisec.net/challenges/26

公众号后台回复【240915】参与玄机邀请码抽奖

一、web目录存在木马,请找到木马的密码提交

猜测/var/www/html是web目录,进入后看到1.php这种正常网站不会命名的文件,查看后发现是webshell木马。

目前Linux没有好用的webshell木马查杀工具,此时可将web目录文件下载到Windows中,用D盾进行查杀。

应急靶场(12):【玄机】Linux入侵排查

flag{1}

二、服务器疑似存在不死马,请找到不死马的密码提交

在web目录/var/www/html中,看到.shell.php这种命名可疑的文件,查看后发现是不死马webshell。

应急靶场(12):【玄机】Linux入侵排查

5d41402abc4b2a76b9719d911017c592

应急靶场(12):【玄机】Linux入侵排查

flag{hello}

三、不死马是通过哪个文件生成的,请提交文件名

在web目录/var/www/html中,使用find命令查找存在5d41402abc4b2a76b9719d911017c592或hello的文件,发现index.php文件也存在5d41402abc4b2a76b9719d911017c592,查看后发现是生成不死马webshell的文件。

应急靶场(12):【玄机】Linux入侵排查

flag{index.php}

四、黑客留下了木马文件,请找出黑客的服务器ip提交

在web目录/var/www/html中,看到shell(1).elf这种命名可疑的文件,赋予执行权限后执行,发现外联IP地址10.11.55.21的3333端口,判断是后门木马。

生产环境中,不要直接执行程序,建议将可疑文件上传到沙箱进行分析。

应急靶场(12):【玄机】Linux入侵排查

flag{10.11.55.21}

五、黑客留下了木马文件,请找出黑客服务器开启的监端口提交

从第四题中可知是3333端口。

flag{3333}

原文始发于微信公众号(OneMoreThink):应急靶场(12):【玄机】Linux入侵排查

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月17日16:26:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急靶场(12):【玄机】Linux入侵排查https://cn-sec.com/archives/3173039.html

发表评论

匿名网友 填写信息