0x01 前言
本次环境提供:玄机团队
本次应急响应及溯源环境来源于某次实战中的机器,机器被攻击者利用某端口服务进行攻击并上传了shell,做了一系列操作,已对主机进行脱敏,敏感字段以题目方式提交,提交格式为: flag{xxx}
注: 需要练习蓝队相关知识,应急响应,流量分析,shell查杀等
关注本公众号 州弟学安全 发送"邀请码"获取注册通道PS: 因目前尚在内测阶段且所有环境都采用了上云技术,每次开启环境都会开启一个裸机服务器,公益类型,资源紧张,所以邀请码有限,但邀请码后期会不定时通过各种形式进行下发,所有环境来源于: 全国各大赛、国护及省护、日常应急及个人制作,资源收集不易且珍惜,一直在更新!
第一期文章及环境WP请参考以下文章
麻烦各位师傅点个关注、点赞、在看三连支持一下
如需免费及时获取邀请码、欢迎投稿应急响应环境包括不限于大赛环境,应急响应,hvv环境,自发性制作环境等,加入内测群共同交流关注公众号-点击加好友扫码详谈
* 本次环境已进行脱敏处理、且已进行授权发布,文章仅供学习参考请勿进行违法传播使用,否则后果自行承担
0x02 题目展示
应急响应- Linux入侵排查1.web目录存在木马,请找到木马的密码提交2.服务器疑似存在不死马,请找到不死马的密码提交3.不死马是通过哪个文件生成的,请提交文件名4.攻击者留下了木马文件,请找出攻击者的服务器ip提交5.攻击者留下了木马文件,请找出攻击者服务器开启的监端口提交
问:web目录存在木马,请找到木马的密码提交答:flag{1}
根据对日志审计,看到来源于192.168.200.2对1.php和.shell.php大量频繁访问
对两个文件的值提交,得到1.php内的 '1' 为木马的密码
问:服务器疑似存在不死马,请找到不死马的密码提交答:flag{hello}
何为不死马,不死马即为一直会被创建,且删除后会重建的木马,他可能会被其他文件定时创建,也可以被写入到计划任务创建
上传的仍然是一句话木马,但是在这之前会对设定的MD5进行比对,当POST传参pass与设定的MD5值一致时,则可执行后面的一句话木马
对设定的MD5值进行解密,即可获取到flag值
问:不死马是通过哪个文件生成的,请提交文件名答:flag{index.php}
上面也梳理过,不死马的存在,是由某个文件或者计划任务去创建,进程中一直在监控或运行,无限循环去创建不死马,可以查找木马的特征
使用grep命令查找到关于.shell.php内特征字符,在index.php中发现可疑字段
在index.php末尾,看到定义了$file和$code,$file变量代表文件绝对路径,$code代表文件内内容,后使用 file_put_contents 进行写入,然后使用system函数调用touch创建一个指定时间名为.shell.php文件,进行伪造文件时间
问:攻击者留下了木马文件,请找出攻击者的服务器ip提交答:flag{10.11.55.21}
在web目录下还存在一个名为 'shell(1).elf' 的文件
使用IDA进行分析此文件,在伪代码中看到以下内容(IDA配置显示问题 v1[1]和v1[0]数值为16进制)
声明并初始化两个整型数组v0和v1,分别包含2个和4个元素。将v1[3]赋值为0,将v1[2]赋值为1。使用汇编指令int 80h,进入 Linux 内核中断处理程序,具体操作是未知的(由__asm块包裹的汇编代码)。将v1[1]赋值为355928842,将v1[0]赋值为84738050。将v1的地址赋值给v0[0]。再次使用汇编指令int 80h,进入 Linux 内核中断处理程序。再次使用汇编指令int 80h,再次进入 Linux 内核中断处理程序。再次使用汇编指令int 80h,最后一次进入 Linux 内核中断处理程序。使用jmp跳转到由ecx寄存器指定的位置。
将v1[1]转为ascii后得到了攻击者的IP地址为 10.11.55.21
问:攻击者留下了木马文件,请找出攻击者服务器开启的监端口提交答:falg{3333}
这个题目在环境创作者的WP中写到端口为 3333 但是对文件逆向分析后并没发现有这个端口,并且对主机整体搜索遍历了这个IP的特征也没发现什么,可能在最后改动的时候出现了一些问题
0x03 总结
环境整体来说是没什么问题的,平台环境是独立对每一块内容进行细分的,对于初学者来说比较友好,对于大佬就是闲来无事的小游戏,环境适用于比赛训练,运维等工作人员熟练,也有CTF成分
平台尚在内测阶段,后续会不断更新资源,整合资源,欢迎投稿环境一起进步
原文始发于微信公众号(州弟学安全):学习干货|实战中的应急响应及不死马 (第二弹)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论