【玄机应急响应靶场部分WP】-EW帮帮网

第一章应急响应-webshell查杀

靶机账号密码 root xjwebshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}

首先利用putty或者其他工具连接，下载文件使用winscp比较方便

下载/var/www/html源码，拖到桌面用D盾，火绒等查杀工具进行查杀

可以看到直接查杀出三个后门文件

Gz.php

第一题：flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

搜索一下木马语句$key='3c6e0b8a9c15224a';

判断为可能是哥斯拉木马，找到对应github地址进行MD5编码

md5('https://github.com/BeichenDream/Godzilla')

第二题：flag{39392DE3218C333F794BEFEF07AC9257}

黑客隐藏shell的完整路径的md5 ，可注意到.mysqli.php木马前面有点，在linux查看时不会直接显现，可判断为隐藏shell

md5('/var/www/html/include/Db/.Mysqli.php')

第三题：falg{aebac0e58cd6c5fad1695ee4d1ac1919}

黑客免杀马完整路径 md5 flag{md5}

翻阅其他web目录下的文件，发现了top.php，这里其实最好查看apache日志，日志路径位于/var/log/apache2/access.log

发现有利用该文件执行命令，找到对应文件查看

发现确实是使用了字符串拼接进行免杀，代码中没有直接暴露的高危函数

对代码进行解析，可以得知变量$c代表的是函数assert()，而变量$fun是传入的要执行的代码，需先base64编码

md5('/var/www/html/wap/top.php')

第四题：flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}

第一章应急响应-Linux日志分析

账号root密码linuxrz
ssh root@IP
1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割
2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割
3.爆破用户名字典是什么？如果有多个使用","分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户，用户名是多少

连接服务器后根据题目提示分析日志，可用命令提取，也可将/var/log/下文件都下下载到本地进行分析

1、cat /var/log/auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more

cat /var/log/auth.log.1:cat命令用于显示文件内容，这里它显示的是/var/log/auth.log.1这个文件的内容。这个文件通常包含了系统的身份验证日志。

grep -a "Failed password for root":grep命令用于在文本中搜索特定的模式，-a选项允许处理二进制文件像文本文件一样，这里它用于搜索日志文件中包含“Failed password for root”这行内容的所有记录。即找到所有尝试使用root用户登录但失败的记录。

awk '{print $11}':awk是一种文本处理工具，这里的命令表示提取每一行的第11列内容。对于auth.log文件中的“Failed password for root”记录，第11列通常是IP地址。

sort:sort命令用于对输出的IP地址进行排序。

uniq -c:uniq命令用于过滤掉排序列表中的重复行，而-c选项则用于统计每个IP地址出现的次数。

sort -nr:这个命令对统计结果按照次数从大到小（-n表示按数字排序，-r表示反向排序）排序。这样就可以看到哪个IP地址尝试失败的次数最多。

more:more命令用于分页显示输出内容，这样如果输出的内容很多，用户可以逐页查看。

总结：这条命令最终的输出是一个按失败登录尝试次数排序的IP地址列表，这些IP地址都尝试用root用户登录系统但失败了。

flag{192.168.200.2,192.168.200.31,192.168.200.32}

2、cat /var/log/auth.log.1 | grep -a "Accepted" | awk '{print $11}' | sort | uniq -c | sort -nr | more

flag{192.168.200.2}

3、grep -a "Failed password" /var/log/auth.log.1 |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}' | sort | uniq -c | sort -nr | more

flag{user,hello,root,test3,test2,test1}

4、grep -a "Failed password for root" /var/log/auth.log.1 | awk '{print $11}' | uniq -c | sort -nr | more

grep -a "Accepted " /var/log/auth.log.1 | awk '{print $11}' | uniq -c | sort -nr | more

但是这里说登录成功的IP爆破了多少次，是否需要算上用不存在的用户爆破的次数呢？从答案看是没有算上的。

flag{4}

5、cat /etc/passwd

cat /var/log/auth.log.1 |grep -a "new user"

flag{test2}

第一章应急响应-Linux入侵排查

账号：root 密码：linuxruqin
ssh root@IP
1.web目录存在木马，请找到木马的密码提交
2.服务器疑似存在不死马，请找到不死马的密码提交
3.不死马是通过哪个文件生成的，请提交文件名
4.黑客留下了木马文件，请找出黑客的服务器ip提交
5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

直接找到web目录，/var/www/html/

1、一句木马密码

flag{1}

2、不死马密码

flag{hello}

3、不死马通过哪个文件生成

flag{index.php}

4、外联IP

www目录下存在shell.elf，微步云沙箱分析

flag{10.11.55.21}

5、外联端口

chmod 777 shell.elf

./shell.elf

netstat -antlp|more

此处一直没运行成功,参考wp运行成功后是3333端口

flag{3333}

第四章 windows日志分析

服务器场景操作系统 Windows7
服务器账号密码：winlog/winlog123
题目:
  1. 审计桌面的logs日志，定位所有扫描IP，并提交扫描次数
  2. 审计相关日志，提交rdp被爆破失败次数
  3. 审计相关日志，提交成功登录rdp的远程IP地址，多个以&连接,以从小到大顺序排序提交
  4. 提交黑客创建的隐藏账号
  5. 提交黑客创建的影子账号
  6. 黑客植入了一个远程shell，审计相关进程和自启动项提交该程序名字
  7. 提交远程shell程序的连接IP+端口，以IP:port方式提交
  8. 黑客使用了计划任务来定时执行某shell程序，提交此程序名字

1、提取IP可借助linux命令

cat access.log | awk '{print $1}'| sort | uniq -c | sort -nr