1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
1.web目录存在木马,请找到木马的密码提交题目1是web目录存在木马,这种情况我们先切换到web目录下,网站目录/var/www/html,通过ls -l可以看到许多.php文件,一般来说木木都会放在index.php或者一些特殊名字的php文件下面。打开1.php,发现里面有一段代码,<?php eval($ PoST[11);?> 熟悉的人都知道,这是标准的一句话木马。POST里面的就是木马连接密码。提交flag{1}就可以了。
除了这种方法外,还可以通过find+grep命令查找木马常用函数eval(),或者assert()。我们可以在网站目录下查找包含这个函数的php文件。
find./ -name "*.php" | xargs grep "eval("
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
查看index.php发现其每隔usleep(3000)就会生成一个.shell.php文件,从而使其达到不死马的条件,题目是哪个文件生成的,提交文件名即可。
4.黑客留下了木马文件,请找出黑客的服务器ip提交
一般来说木马文件是以.elf结尾,我们可以在网站目录下看到一个明显的'shell(1).elf'文件,打开看一下里面没找到IP地址。这种情况我们有2个方法,一是把文件通过xftp考下来,放到沙箱里跑一下,可以得到服务器IP地址,或者我们在虚拟机里运行一下,然后查看netstat -antlp,也可以得到回连的IP地址。
1.语法:cd 目录名
2.功能:改变工作目录。将当前工作目录改变到指定的目录下。
举例:cd … : 返回上级目录 cd /home/litao/linux/ : 绝对路径
cd …/day02/ : 相对路径
cd ~:进入用户家目
cd -:返回最近访问目录
补充知识:
从根目录中去找某一个文件称为绝对目录
以当前路径为参照物,找文件成为相对路径
find语法
find [路径] [匹配条件] [动作]
参数说明 :
路径 是要查找的目录路径,可以是一个目录或文件名,也可以是多个路径,多个路径之间用空格分隔,如果未指定路径,则默认为当前目录。
·-name pattern:按文件名查找,支持使用通配符 * 和 ?。
·-type type:按文件类型查找,可以是 f(普通文件)、d(目录)、l(符号链接)等。
·-size [+-]size[cwbkMG]:按文件大小查找,支持使用 + 或 - 表示大于或小于指定大小,单位可以是 c(字节)、w(字数)、b(块数)、k(KB)、M(MB)或 G(GB)。
·-mtime days:按修改时间查找,支持使用 + 或 - 表示在指定天数前或后,days 是一个整数表示天数。
·-user username:按文件所有者查找。
·-group groupname:按文件所属组查找。
动作:可选的,用于对匹配到的文件执行操作,比如删除、复制等。
find 命令中用于时间的参数如下:
·-amin n:查找在 n 分钟内被访问过的文件。
·-atime n:查找在 n*24 小时内被访问过的文件。
·-cmin n:查找在 n 分钟内状态发生变化的文件(例如权限)。
·-ctime n:查找在 n*24 小时内状态发生变化的文件(例如权限)。
·-mmin n:查找在 n 分钟内被修改过的文件。
·-mtime n:查找在 n*24 小时内被修改过的文件。
在这些参数中,n 可以是一个正数、负数或零。正数表示在指定的时间内修改或访问过的文件,负数表示在指定的时间之前修改或访问过的文件,零表示在当前时间点上修改或访问过的文件。
正数应该表示时间之前,负数表示时间之内。
实例
查找当前目录下名为 file.txt 的文件:
find . -name file.txt
将当前目录及其子目录下所有文件后缀为.c 的文件列出来:
# find . -name "*.c"
将当前目录及其子目录中的所有文件列出:
# find . -type f
查找 /home 目录下大于 1MB 的文件:
find /home -size +1M
查找 /var/log 目录下在 7 天前修改过的文件:
find /var/log -mtime +7
查找过去 7 天内被访问的文件:
find /path/to/search -atime -7
在当前目录下查找最近 20 天内状态发生改变的文件和目录:
# find . -ctime 20
将当前目录及其子目录下所有 20 天前及更早更新过的文件列出:
# find . -ctime +20
查找 /var/log 目录中更改时间在 7 日以前的普通文件,并在删除之前询问它们:
# find /var/log -type f -mtime +7 -ok rm {} ;
查找当前目录中文件属主具有读、写权限,并且文件所属组的用户和其他用户具有读权限的文件:
# find . -type f -perm 644 -exec ls -l {} ;
查找系统中所有文件长度为 0 的普通文件,并列出它们的完整路径:
# find / -type f -size 0 -exec ls -l {} ;
找并执行操作(例如删除):
find /path/to/search -name "pattern" -exec rm {} ;
这个例子中,-exec 选项允许你执行一个命令,{} 将会被匹配到的文件名替代,; 表示命令结束。
原文始发于微信公众号(网络安全实验室):应急响应之linux 排查
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论