目录
第一章 应急响应-webshell查杀
靶机账号密码 root xjwebshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}
首先利用putty或者其他工具连接,下载文件使用winscp比较方便
下载/var/www/html源码,拖到桌面用D盾,火绒等查杀工具进行查杀
可以看到直接查杀出三个后门文件
Gz.php
第一题:flag{027ccd04-5065-48b6-a32d-77c704a5e26d}
搜索一下木马语句$key='3c6e0b8a9c15224a';
判断为可能是哥斯拉木马,找到对应github地址进行MD5编码
md5('https://github.com/BeichenDream/Godzilla')
第二题:flag{39392DE3218C333F794BEFEF07AC9257}
黑客隐藏shell的完整路径的md5 ,可注意到.mysqli.php木马前面有点,在linux查看时不会直接显现,可判断为隐藏shell
md5('/var/www/html/include/Db/.Mysqli.php')
第三题:falg{aebac0e58cd6c5fad1695ee4d1ac1919}
黑客免杀马完整路径 md5 flag{md5}
翻阅其他web目录下的文件,发现了top.php,这里其实最好查看apache日志,日志路径位于/var/log/apache2/access.log
发现有利用该文件执行命令,找到对应文件查看
发现确实是使用了字符串拼接进行免杀,代码中没有直接暴露的高危函数
对代码进行解析,可以得知变量$c代表的是函数assert(),而变量$fun是传入的要执行的代码,需先base64编码
md5('/var/www/html/wap/top.php')
第四题:flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}
第一章 应急响应-Linux日志分析
账号root密码linuxrz
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割
2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割
3.爆破用户名字典是什么?如果有多个使用","分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户,用户名是多少
连接服务器后根据题目提示分析日志,可用命令提取,也可将/var/log/下文件都下下载到本地进行分析
1、cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more
cat /var/log/auth.log.1:cat命令用于显示文件内容,这里它显示的是/var/log/auth.log.1这个文件的内容。这个文件通常包含了系统的身份验证日志。
grep -a "Failed password for root":grep命令用于在文本中搜索特定的模式,-a选项允许处理二进制文件像文本文件一样,这里它用于搜索日志文件中包含“Failed password for root”这行内容的所有记录。即找到所有尝试使用root用户登录但失败的记录。
awk '{print $11}':awk是一种文本处理工具,这里的命令表示提取每一行的第11列内容。对于auth.log文件中的“Failed password for root”记录,第11列通常是IP地址。
sort:sort命令用于对输出的IP地址进行排序。
uniq -c:uniq命令用于过滤掉排序列表中的重复行,而-c选项则用于统计每个IP地址出现的次数。
sort -nr:这个命令对统计结果按照次数从大到小(-n表示按数字排序,-r表示反向排序)排序。这样就可以看到哪个IP地址尝试失败的次数最多。
more:more命令用于分页显示输出内容,这样如果输出的内容很多,用户可以逐页查看。
总结:这条命令最终的输出是一个按失败登录尝试次数排序的IP地址列表,这些IP地址都尝试用root用户登录系统但失败了。
flag{192.168.200.2,192.168.200.31,192.168.200.32}
2、cat /var/log/auth.log.1 | grep -a "Accepted" | awk '{print $11}' | sort | uniq -c | sort -nr | more
flag{192.168.200.2}
3、grep -a "Failed password" /var/log/auth.log.1 |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}' | sort | uniq -c | sort -nr | more
flag{user,hello,root,test3,test2,test1}
4、grep -a "Failed password for root" /var/log/auth.log.1 | awk '{print $11}' | uniq -c | sort -nr | more
grep -a "Accepted " /var/log/auth.log.1 | awk '{print $11}' | uniq -c | sort -nr | more
但是这里说登录成功的IP爆破了多少次,是否需要算上用不存在的用户爆破的次数呢?从答案看是没有算上的。
flag{4}
5、cat /etc/passwd
cat /var/log/auth.log.1 |grep -a "new user"
flag{test2}
第一章 应急响应-Linux入侵排查
账号:root 密码:linuxruqin
ssh root@IP
1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
直接找到web目录,/var/www/html/
1、一句木马密码
flag{1}
2、不死马密码
flag{hello}
3、不死马通过哪个文件生成
flag{index.php}
4、外联IP
www目录下存在shell.elf,微步云沙箱分析
flag{10.11.55.21}
5、外联端口
chmod 777 shell.elf
./shell.elf
netstat -antlp|more
此处一直没运行成功,参考wp运行成功后是3333端口
flag{3333}
第四章 windows日志分析
服务器场景操作系统 Windows7
服务器账号密码:winlog/winlog123
题目:
1. 审计桌面的logs日志,定位所有扫描IP,并提交扫描次数
2. 审计相关日志,提交rdp被爆破失败次数
3. 审计相关日志,提交成功登录rdp的远程IP地址,多个以&连接,以从小到大顺序排序提交
4. 提交黑客创建的隐藏账号
5. 提交黑客创建的影子账号
6. 黑客植入了一个远程shell,审计相关进程和自启动项提交该程序名字
7. 提交远程shell程序的连接IP+端口,以IP:port方式提交
8. 黑客使用了计划任务来定时执行某shell程序,提交此程序名字
1、提取IP可借助linux命令
cat access.log | awk '{print $1}'| sort | uniq -c | sort -nr
查看日志分析
192.168.150.33有nmap扫描特征
192.168.150.67存在大量的攻击记录,有目录探测也有漏洞测试,大量状态码404和403
192.168.150.1IP感觉是不是正常访问或者配环境的,几乎是get请求和状态码200
所以扫描次数是150.33+150.67的记录
flag{6385}
2、rdp爆破失败次数
快捷键WIN+R输入 'eventvwr.msc' 查看事件查看器,事件id4625
也可以借助日志分析工具去查看
Flag{2594}
3、登录成功的IP地址从小到大排序
可以通过事件id4624(登录成功)和id4648(凭据登录)进行查看,最好利用工具比较方便
flag{192.168.150.1&192.168.150.128&192.168.150.178}
4、查看隐藏账号
有几种方式
1、进入用户组查看
快捷键WIN+R输入 'lusrmgr.msc',
据作者说hackers$是影子账户,不知道为什么出现在这儿
2、工具查看,如D盾等
3、注册表查看
flag{hacker$}
5、查看影子账户
影子账号真实环境中是无法在用户组/netuser/用户面板中看到,但是可以在注册表中看到并删除,快捷键WIN+R 'regedit'
注册表地址:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
D盾工具查看
flag{hackers$}
6、远程shell程序名字
D盾查看启动项
自启动一般排查:
1. win+r 输入msconfig
2.win+r输入regedit
目录HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
3. 搜索计划任务,进入任务计划程序,查看相关启动程序;win+r:taskschd.msc
flag{xiaowei.exe}
7. 提交远程shell程序的连接IP+端口,以IP:port方式提交
使用netstat -nao查看到相应的端口状态,在后面看到可疑连接
如果看到不少外联IP,排查思路可如下:
1. 根据外联IP地址进行排查,在情报平台进行查询
2. 根据端口进行排查,通常大端口或有特殊意义端口要确认
3. 依次根据PID找到进程进行排查:tasklist | findstr “number”
flag{185.117.118.21:4444}
8.黑客使用了计划任务来定时执行某shell程序,提交此程序名字
查看计划任务
flag{download.bat}
最后作者总结的整体过程