玄机响应第一章应急响应- Linux入侵排查WP,网络安全爱好者中心-神域博客网

前言

https://xj.edisec.net/challenges/26

任务

图片[1],玄机响应第一章应急响应- Linux入侵排查WP,网络安全爱好者中心-神域博客网

1.web目录存在木马，请找到木马的密码提交

判断出这是个PHP的站点

图片[2],玄机响应第一章应急响应- Linux入侵排查WP,网络安全爱好者中心-神域博客网

进入var/www/html判断一下是php站点


find ./ -type f -name "*.php" | xargs grep "eval("
find ./ -type f -name "*.php" | xargs grep "eval("
find ./ -type f -name "*.php" | xargs grep "eval("

图片[3],玄机响应第一章应急响应- Linux入侵排查WP,网络安全爱好者中心-神域博客网

三个php文件 1.php明显一句话木马

第一个flag


flag{1}
flag{1}
flag{1}

2.服务器疑似存在不死马，请找到不死马的密码提交

查看之前的index.php可以看出index.php是不死马

图片[4],玄机响应第一章应急响应- Linux入侵排查WP,网络安全爱好者中心-神域博客网

创建的是.shell.php

图片[5],玄机响应第一章应急响应- Linux入侵排查WP,网络安全爱好者中心-神域博客网

cmd5解密即可

图片[6],玄机响应第一章应急响应- Linux入侵排查WP,网络安全爱好者中心-神域博客网


hello
hello
hello

3.不死马是通过哪个文件生成的，请提交文件名

index.php

4.黑客留下了木马文件，请找出黑客的服务器ip提交

这里看了一下没有可疑的IP可能是木马文件未运行

图片[7],玄机响应第一章应急响应- Linux入侵排查WP,网络安全爱好者中心-神域博客网

图片[8],玄机响应第一章应急响应- Linux入侵排查WP,网络安全爱好者中心-神域博客网

运行一下木马文件

图片[9],玄机响应第一章应急响应- Linux入侵排查WP,网络安全爱好者中心-神域博客网


10.11.55.21
10.11.55.21
10.11.55.21

5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

图片[10],玄机响应第一章应急响应- Linux入侵排查WP,网络安全爱好者中心-神域博客网


3333
3333
3333

------本文已结束，感谢您的阅读------

THE END

渗透测试网络攻防

玄机响应第一章 应急响应- Linux入侵排查WP

前言

1.web目录存在木马，请找到木马的密码提交

2.服务器疑似存在不死马，请找到不死马的密码提交

3.不死马是通过哪个文件生成的，请提交文件名

4.黑客留下了木马文件，请找出黑客的服务器ip提交

5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

请登录后发表评论

玄机响应第一章应急响应- Linux入侵排查WP