网站 权限北京建网站公司

当前位置： 首页 > news >正文

网站 权限,北京建网站公司,discuz修改网站关键词,最大网络公司排名目录 第一章linux:入侵排查 1.web目录存在木马#xff0c;请找到木马的密码提交 2.服务器疑似存在不死马#xff0c;请找到不死马的密码提交 3.不死马是通过哪个文件生成的#xff0c;请提交文件名 4.黑客留下了木马文件#xff0c;请找出黑客的服务器ip提交 5.黑客留… 目录 第一章linux:入侵排查 1.web目录存在木马请找到木马的密码提交 2.服务器疑似存在不死马请找到不死马的密码提交 3.不死马是通过哪个文件生成的请提交文件名 4.黑客留下了木马文件请找出黑客的服务器ip提交 5.黑客留下了木马文件请找出黑客服务器开启的监端口提交 第一章linux:webshell查杀 1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx 4.黑客免杀马完整路径 md5 flag{md5} 第一章Linux的日志分析 1.有多少IP在爆破主机ssh的root帐号如果有多个使用,分割 2.ssh爆破成功登陆的IP是多少如果有多个使用,分割 3.爆破用户名字典是什么如果有多个使用,分割 4.成功登录 root 用户的 ip 一共爆破了多少次 5.黑客登陆主机后新建了一个后门用户用户名是多少 第一章linux:入侵排查 启动环境直接连上Xshell 1.web目录存在木马请找到木马的密码提交 因为是web目录直接进入到根目录 cd /var/www/html web目录存在木马可以用以下命令查找以jsp/php/asp/aspx结尾的文件 find ./ type f -name *.jsp | xargs grep exec(find ./ type f -name *.php | xargs grep eval(find ./ type f -name *.asp | xargs grep execute(find ./ type f -name *.aspx | xargs grep eval( 根据经验这里我先查了以php文件结尾的 这里也是直接发现了最后一个文件是一句话木马密码是1直接提交 flag{1} 2.服务器疑似存在不死马请找到不死马的密码提交 不死马隐藏性强持久性多样化 根据不死马的特性持久性强根据这个思路进行排查 查看计划任务crontab -l 没有计划任务 查看启动项 cat /etc/rc.local 查看系统启动和关闭时运行的一系列脚本文件ls /etc/init.d/ 查看和管理系统服务状态systemctl list-unit-files –typeservice 也是没有什么发现 刚才在筛选php后缀文件时发现一个shell.php 查看一下 这个被MD5加密了直接解密 尝试提交一下是正确的 flag{hello} 3.不死马是通过哪个文件生成的请提交文件名 根据刚才查找php后缀文件分析index.php 查看cat index.php 这个文件 可以看出这个 index.php 文件生成的不死马 flag{index.php} 4.黑客留下了木马文件请找出黑客的服务器ip提交 通过查看当前目录 发现一个shell(1).elf 文件 直接查看是一串乱码 根据题目说找到黑客的IP说明黑客连接了这台机器 根据这个 以 elf 为后缀的文件它是一个可执行程序 那么直接给它加权限运行 chmod 777 shell(1).elf./shell(1).elf 查看一下端口情况 netstat -antlp | more 发现一个外部连接有一个陌生地址这个应该是黑客的IP 和端口直接提交 flag{10.11.55.21} 5.黑客留下了木马文件请找出黑客服务器开启的监端口提交 根据上面找到的端口直接提交 flag{3333} 第一章linux:webshell查杀 开启环境连上Xshell 1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 先进入到根目录 直接查找危险函数 cd /var/www/htmlfind ./ type f -name *.jsp | xargs grep exec(find ./ type f -name *.php | xargs grep eval(find ./ type f -name *.asp | xargs grep execute(find ./ type f -name .aspx | xargs grep eval( 发现三个可疑php文件那么一个一个分析 cat ./include/gz.php 根据前三句话可以看出这是一个哥斯拉的webshell 下面注释有点像要提交的flag格式试一下正确 flag{027ccd04-5065-48b6-a32d-77c704a5e26d} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 根据我们第一题分析的是一个哥斯拉webshell要我们提交github地址我们网上找一下 第一个就是  Godzilla地址GitHub - BeichenDream/Godzilla: 哥斯拉 要提交地址的MD5直接找一个在线网站加一下密MD5 在线加密工具 | 菜鸟工具 (jyshare.com) flag{39392de3218c333f794befef07ac9257} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx 因为是隐藏的说明不能直接通过 ls 命令查看到 这里需要用到一个命令ls -la  可以看到隐藏的文件 在之前查找php文件的时候发现了一个以.结尾的隐藏文件 看一下这个文件是不是隐藏的shell cat ./include/Db/.Mysqli.php 典型的哥斯拉webshell猜测这就是要找的查看进入这个目录查看路径 cd ./include/Db/ pwd 最后拼接上隐藏文件即可 /var/www/html/include/Db/.Mysqli.php MD5加密 flag{aebac0e58cd6c5fad1695ee4d1ac1919} 4.黑客免杀马完整路径 md5 flag{md5} 因为做了免杀常规排查方法不可行那么直接看日志 查看Apache2日志位于/var/log/apache2/access.log cat /var/log/apache2/access.log 发现一个执行了 phpinfo()  , 可能是我们要找的但是提交了发现不对 继续往下找又发现了一个 又发现一个 直接拼接路径加密 flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de} 第一章Linux的日志分析 开启环境连上Xshell 1.有多少IP在爆破主机ssh的root帐号如果有多个使用,分割 先进入日志目录 cd /var/log 直接筛选爆破失败的IP和次数 cat auth.log.1 | grep -a Failed password for root | awk {print \(11} | sort | uniq -c | sort -nr | more 直接提交 flag{192.168.200.2,192.168.200.31,192.168.200.32} 2.ssh爆破成功登陆的IP是多少如果有多个使用,分割 筛选登录成功的IP和次数 cat auth.log.1 | grep -a Accepted | awk {print \)11} | sort | uniq -c | sort -nr | more flag{192.168.200.2} 3.爆破用户名字典是什么如果有多个使用,分割 筛选登录尝试失败的用户名称 cat auth.log.1 | grep -a Failed password |perl -e while($_){ /for(.?) from/; print \(1\n;}|uniq -c|sort -nr flag{user,hello,root,test3,test2,test1} 4.成功登录 root 用户的 ip 一共爆破了多少次 筛选以root用户爆破失败的次数 cat auth.log.1 | grep -a Failed password for root | awk {print \)11} | sort | uniq -c | sort -nr | more 发现以root用户登录失败的次数是4 flag{4} 5.黑客登陆主机后新建了一个后门用户用户名是多少 直接筛选日志中新建的用户 cat auth.log.1 |grep -a new user 发现有两个两个中肯定有一个后门用户一个一个提交试试 最后发现test2就是后门用户 flag{test2} 其实还可以查看用户列表 cat /etc/passwd 一般最后一个用户即为添加的后门用户