应急响应之linux 排查

有招聘需求的可以后台联系运营人员。

玄机靶场地址：https://xj.edisec.net/

第一章 应急响应- Linux入侵排查

1.web目录存在木马，请找到木马的密码提交
2.服务器疑似存在不死马，请找到不死马的密码提交
3.不死马是通过哪个文件生成的，请提交文件名
4.黑客留下了木马文件，请找出黑客的服务器ip提交
5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

题目是linux的入侵排查，5个问题，提交格式为flag{***}。

首先开启靶场环境，用xshell链接靶场。

1.web目录存在木马，请找到木马的密码提交

题目1是web目录存在木马，这种情况我们先切换到web目录下，网站目录/var/www/html，通过ls -l可以看到许多.php文件，一般来说木木都会放在index.php或者一些特殊名字的php文件下面。打开1.php，发现里面有一段代码，<?php eval($ PoST[11);?>  熟悉的人都知道，这是标准的一句话木马。POST里面的就是木马连接密码。提交flag{1}就可以了。

除了这种方法外，还可以通过find+grep命令查找木马常用函数eval()，或者assert（）。我们可以在网站目录下查找包含这个函数的php文件。

find./ -name "*.php" | xargs grep "eval("

可以发现3个文件里都有eval函数。第一个题的答案就在1.php里面

2.服务器疑似存在不死马，请找到不死马的密码提交

第二个题是存在不死马，找到不死马密码。刚才我们看了1.php，还有index.php和shell.php，打开shell.php可以发现里面存在一些MD5字段，通过MD5在线工具解密后得到flag，提交得到正确答案。

3.不死马是通过哪个文件生成的，请提交文件名

查看index.php发现其每隔usleep(3000)就会生成一个.shell.php文件，从而使其达到不死马的条件，题目是哪个文件生成的，提交文件名即可。

4.黑客留下了木马文件，请找出黑客的服务器ip提交

一般来说木马文件是以.elf结尾，我们可以在网站目录下看到一个明显的'shell(1).elf'文件，打开看一下里面没找到IP地址。这种情况我们有2个方法，一是把文件通过xftp考下来，放到沙箱里跑一下，可以得到服务器IP地址，或者我们在虚拟机里运行一下，然后查看netstat -antlp，也可以