【ANHUNSEC::CTF】linux应急响应-Writeup

admin 2024年11月3日13:13:05评论11 views字数 719阅读2分23秒阅读模式
点击蓝字
【ANHUNSEC::CTF】linux应急响应-Writeup
关注我们

【ANHUNSEC::CTF】linux应急响应-Writeup

【ANHUNSEC::CTF】linux应急响应-Writeup
【ANHUNSEC::CTF】linux应急响应-Writeup
微信搜一搜
【ANHUNSEC::CTF】linux应急响应-Writeup
暗魂攻防实验室

1.提交攻击者IP地址

访问⽇志⽂件:cd /var/log/apache2

查看⽇志⽂件并且分析:cat access.log.1

发现192.168.1.7 存在⽬录爆破

【ANHUNSEC::CTF】linux应急响应-Writeup

2.识别攻击者使用的操作系统

查看ua头能发现是Linux系统

【ANHUNSEC::CTF】linux应急响应-Writeup

3.找出攻击者资产收集所使用的平台

已经知道⿊客ip为192.168.1.7 查找来源能看到通过shodan

cat access.log.1|grep 192.168.1.7 |grep "https://"

【ANHUNSEC::CTF】linux应急响应-Writeup

4.提交攻击者扫描目录所使用的工具名称

上面爆破目录得知是dirsearch

【ANHUNSEC::CTF】linux应急响应-Writeup

5.提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS

分析爆破⽬录前与爆破⽬录后的⽇志

【ANHUNSEC::CTF】linux应急响应-Writeup

最后发现爆破后进⾏了⽂件上传,并且执⾏了命令执⾏

将上传的时间作为flag

24/Apr/2022:15:25:53

【ANHUNSEC::CTF】linux应急响应-Writeup

6.找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

通过上一题的日志或者搜索system等就能得到路径

/var/www/html/data/avatar/1.php passwd:2022

【ANHUNSEC::CTF】linux应急响应-Writeup

7.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)。

在web目录搜索eval即可找到 /var/www/html/footer.php

【ANHUNSEC::CTF】linux应急响应-Writeup

8.识别系统中存在的恶意程序进程,提交进程名。

ps -ef查看到prism进程,840

【ANHUNSEC::CTF】linux应急响应-Writeup

进程名

ps -p 840 -o comm=

【ANHUNSEC::CTF】linux应急响应-Writeup

9.找到文件系统中的恶意程序文件并提交文件名(完整路径)。

查看计划任务

/root/.mal/prism

【ANHUNSEC::CTF】linux应急响应-Writeup

【ANHUNSEC::CTF】linux应急响应-Writeup

原文始发于微信公众号(暗魂攻防实验室):【ANHUNSEC::CTF】linux应急响应-Writeup

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月3日13:13:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【ANHUNSEC::CTF】linux应急响应-Writeuphttps://cn-sec.com/archives/3349781.html

发表评论

匿名网友 填写信息