怎么做网站标题优化,宣传片拍摄应急预案,模板站怎么改成营销型网站,公司起名字免费软件目录
第一章linux:入侵排查
1.web目录存在木马#xff0c;请找到木马的密码提交
2.服务器疑似存在不死马#xff0c;请找到不死马的密码提交
3.不死马是通过哪个文件生成的#xff0c;请提交文件名
4.黑客留下了木马文件#xff0c;请找出黑客的服务器ip提交
5.黑客留…
目录
第一章linux:入侵排查
1.web目录存在木马请找到木马的密码提交
2.服务器疑似存在不死马请找到不死马的密码提交
3.不死马是通过哪个文件生成的请提交文件名
4.黑客留下了木马文件请找出黑客的服务器ip提交
5.黑客留下了木马文件请找出黑客服务器开启的监端口提交
第一章linux:webshell查杀
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}
第一章Linux的日志分析
1.有多少IP在爆破主机ssh的root帐号如果有多个使用,分割
2.ssh爆破成功登陆的IP是多少如果有多个使用,分割
3.爆破用户名字典是什么如果有多个使用,分割
4.成功登录 root 用户的 ip 一共爆破了多少次
5.黑客登陆主机后新建了一个后门用户用户名是多少 第一章linux:入侵排查 启动环境直接连上Xshell
1.web目录存在木马请找到木马的密码提交
因为是web目录直接进入到根目录
cd /var/www/html web目录存在木马可以用以下命令查找以jsp/php/asp/aspx结尾的文件
find ./ type f -name *.jsp | xargs grep exec(find ./ type f -name *.php | xargs grep eval(find ./ type f -name *.asp | xargs grep execute(find ./ type f -name *.aspx | xargs grep eval(
根据经验这里我先查了以php文件结尾的 这里也是直接发现了最后一个文件是一句话木马密码是1直接提交
flag{1} 2.服务器疑似存在不死马请找到不死马的密码提交
不死马隐藏性强持久性多样化
根据不死马的特性持久性强根据这个思路进行排查
查看计划任务crontab -l 没有计划任务
查看启动项
cat /etc/rc.local 查看系统启动和关闭时运行的一系列脚本文件ls /etc/init.d/ 查看和管理系统服务状态systemctl list-unit-files --typeservice 也是没有什么发现
刚才在筛选php后缀文件时发现一个shell.php 查看一下 这个被MD5加密了直接解密 尝试提交一下是正确的
flag{hello} 3.不死马是通过哪个文件生成的请提交文件名
根据刚才查找php后缀文件分析index.php 查看cat index.php 这个文件 可以看出这个 index.php 文件生成的不死马
flag{index.php} 4.黑客留下了木马文件请找出黑客的服务器ip提交
通过查看当前目录 发现一个shell(1).elf 文件
直接查看是一串乱码 根据题目说找到黑客的IP说明黑客连接了这台机器
根据这个 以 elf 为后缀的文件它是一个可执行程序 那么直接给它加权限运行
chmod 777 shell(1).elf./shell(1).elf 查看一下端口情况
netstat -antlp | more 发现一个外部连接有一个陌生地址这个应该是黑客的IP 和端口直接提交
flag{10.11.55.21} 5.黑客留下了木马文件请找出黑客服务器开启的监端口提交
根据上面找到的端口直接提交
flag{3333} 第一章linux:webshell查杀 开启环境连上Xshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
先进入到根目录
直接查找危险函数
cd /var/www/htmlfind ./ type f -name *.jsp | xargs grep exec(find ./ type f -name *.php | xargs grep eval(find ./ type f -name *.asp | xargs grep execute(find ./ type f -name *.aspx | xargs grep eval( 发现三个可疑php文件那么一个一个分析
cat ./include/gz.php 根据前三句话可以看出这是一个哥斯拉的webshell
下面注释有点像要提交的flag格式试一下正确
flag{027ccd04-5065-48b6-a32d-77c704a5e26d} 2.黑客使用的什么工具的shell github地址的md5 flag{md5}
根据我们第一题分析的是一个哥斯拉webshell要我们提交github地址我们网上找一下 第一个就是 Godzilla地址GitHub - BeichenDream/Godzilla: 哥斯拉
要提交地址的MD5直接找一个在线网站加一下密MD5 在线加密工具 | 菜鸟工具 (jyshare.com) flag{39392de3218c333f794befef07ac9257} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
因为是隐藏的说明不能直接通过 ls 命令查看到
这里需要用到一个命令ls -la 可以看到隐藏的文件
在之前查找php文件的时候发现了一个以.结尾的隐藏文件 看一下这个文件是不是隐藏的shell
cat ./include/Db/.Mysqli.php 典型的哥斯拉webshell猜测这就是要找的查看进入这个目录查看路径
cd ./include/Db/
pwd 最后拼接上隐藏文件即可 /var/www/html/include/Db/.Mysqli.php MD5加密 flag{aebac0e58cd6c5fad1695ee4d1ac1919} 4.黑客免杀马完整路径 md5 flag{md5}
因为做了免杀常规排查方法不可行那么直接看日志 查看Apache2日志位于/var/log/apache2/access.log cat /var/log/apache2/access.log 发现一个执行了 phpinfo() , 可能是我们要找的但是提交了发现不对
继续往下找又发现了一个 又发现一个
直接拼接路径加密 flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de} 第一章Linux的日志分析 开启环境连上Xshell
1.有多少IP在爆破主机ssh的root帐号如果有多个使用,分割
先进入日志目录
cd /var/log
直接筛选爆破失败的IP和次数
cat auth.log.1 | grep -a Failed password for root | awk {print $11} | sort | uniq -c | sort -nr | more 直接提交
flag{192.168.200.2,192.168.200.31,192.168.200.32} 2.ssh爆破成功登陆的IP是多少如果有多个使用,分割
筛选登录成功的IP和次数
cat auth.log.1 | grep -a Accepted | awk {print $11} | sort | uniq -c | sort -nr | more flag{192.168.200.2} 3.爆破用户名字典是什么如果有多个使用,分割
筛选登录尝试失败的用户名称
cat auth.log.1 | grep -a Failed password |perl -e while($_){ /for(.*?) from/; print $1\n;}|uniq -c|sort -nr flag{user,hello,root,test3,test2,test1} 4.成功登录 root 用户的 ip 一共爆破了多少次
筛选以root用户爆破失败的次数
cat auth.log.1 | grep -a Failed password for root | awk {print $11} | sort | uniq -c | sort -nr | more 发现以root用户登录失败的次数是4
flag{4} 5.黑客登陆主机后新建了一个后门用户用户名是多少
直接筛选日志中新建的用户
cat auth.log.1 |grep -a new user 发现有两个两个中肯定有一个后门用户一个一个提交试试
最后发现test2就是后门用户
flag{test2}
其实还可以查看用户列表
cat /etc/passwd
一般最后一个用户即为添加的后门用户
