玄机:第九章-algo

简介

服务器场景操作系统 Linux

服务器账号密码 root password ssh端口222

1. 通过本地 PC SSH到服务器并且分析黑客的 IP 为多少,将黑客 IP 作为 FLAG 提交;

尝试查看一下登录日志,发现ip为172.20.10.3的ip对我方服务器进行ssh端口爆破,大概率是攻击ip,且成功攻击进入我方服务器shell。

复制代码
cat /var/log/auth.log.1
复制代码
flag{172.20.10.3}

2. 通过本地 PC SSH到服务器并且分析黑客挖矿程序反链 IP 为多少,将黑客挖矿程序反链的 IP 作为 FLAG 提交;

此时既然已经知道了攻击者ip为172.20.10.3,那么针对网卡抽取相应的pcap数据包,遗憾的是这台服务器并未安装tcpdump工具。

复制代码
tcpdump -i eth0 \(host 172.20.10.3\) -w dhpcd.pcap

接着锁定时间段从凌晨1点到凌晨2点我们看看新创建的文件,两者没什么异。

复制代码
find / -newerct '2024-01-28 01:00:00' ! -newerct '2024-01-28 02:00:00' ! -path '/proc/*' ! -path /'sys/*' ! -path '/run/*' -type f -exec ls -lctr --full-time {} \+ 2>/dev/null

查看进程,发现了一个占用运存很大的一个程序/usr/bin/dhpcd

复制代码
ps -aux
复制代码
# md5加密文件名
md5sum  /usr/bin/dhpcd

确认为挖矿病毒

获取反链ip,已知其程序pid为 857,进行lsof定位反索引

复制代码
lsof -p 857

tunlap反链查询

复制代码
netstat -tunlap | grep 857

可以发现外连攻击者服务器ip:port为93.240.52.232:3389,矿池ip:port为141.94.96.144:443

但是这个不是正确答案,怀疑是挖矿程序已经改了矿池,但是靶场没改答案,正确的反链 IP为139.99.125.38

复制代码
flag{139.99.125.38}

3. 通过本地 PC SSH到服务器并且分析黑客权限维持文件的md5,将文件的 MD5(md5sum /file) 作为 FLAG 提交;

shadow

复制代码
stat /etc/shadow

计划任务

复制代码
cd /var/spool/cron/crontabs
cat root

计划任务中写了每时每刻运行dhpcd挖矿病毒

复制代码
md5sum root
复制代码
flag{7b9a3a8a9e47e5c9675278420e6e7fa0}

4. 通过本地 PC SSH到服务器并且分析黑客的用户名为什么,将黑客的用户名作为 FLAG 提交;

后门排查

复制代码
ps -ef | awk '{print}' | sort | uniq > 1
ps -ef | awk '{print}' | sort | uniq > 2
diff 1 2

SSH账户排查

复制代码
cat /etc/passwd | grep -v 'nologin\|false'

启动项排查

复制代码
service --status-all

账号排查,只有root登录过

复制代码
w
lastlog

查看登录有效的用户

复制代码
grep "password" /var/log/auth.log.1 | grep -v Failed | grep -v Invalid
复制代码
cat /var/log/auth.log.1 |grep 172.20.10.3

这里删除了账户xj,增加了账户debian,并将其赋给了sudo组,这两者尝试拿去交flag,最后都不行

查看密钥

复制代码
cat /root/.ssh/authorized_keys
复制代码
flag{otto}

flag

复制代码
flag{172.20.10.3}
flag{139.99.125.38}
flag{7b9a3a8a9e47e5c9675278420e6e7fa0}
flag{otto}
相关推荐
茯苓gao3 小时前
嵌入式开发笔记:CANopen相关移位运算与通信协议术语详解
网络·嵌入式硬件·学习·信息与通信
万联WANFLOW3 小时前
SD-WAN 控制平面高可用怎么做?SDWAN 控制器挂了,全网会发生什么
运维·网络·分布式·架构
酱学编程3 小时前
【从零到一实现一个 AI Agent 框架 · 第四篇】04. 任务规划:拆解复杂目标 -
服务器·网络·数据库·人工智能
被克制了4 小时前
安全协议设计与分析(2)
网络安全·密码学·安全协议
风行南方5 小时前
密码学之分组密码
网络·密码学
dexi.Chi 攻城狮5 小时前
SQL层次查询语法
经验分享·笔记·sql
阿星AI工作室5 小时前
WorkBuddy接入deepseek等9款平价大模型,告别积分焦虑
经验分享
BomanZQT5 小时前
NSK UPFC 2040-1 极速精密滚珠丝杠详述
经验分享·规格说明书
艾莉丝努力练剑5 小时前
OpenCode AI 编程:Ubuntu 24.04 环境安装与使用指南
linux·服务器·网络·人工智能·tcp/ip·ubuntu
云水一下6 小时前
DVWA从入门到精通(十一):XSS (Stored)(存储型XSS)
web安全·xss·dvwa·存储型