靶机的环境:Linux webserver 5.4.0-109-generic
1.提交攻击者的 ip地址
linux应急响应需要知道黑客想要进入服务器或者内网,一定从web入手
所以应急响应的i第一步应该就是看一下web日志,看进行了神码操作
apache的网站日志是/var/log/apache2/access.log ,如果不知道可以find / -name ”access.log“
nginx的日志目录是/var/log/nginx/access.log
这里有两个日志文件,一个是access.log和access.log1,第一个没有数据access.log1如下
筛查出GET请求的数据包
cat /var/log/apache2/access.log1 | grep "GET" //晒出来GET请求的流量
可以看到黑客的ip地址是192.168.1.7
flag{192.168.1.7}
2.识别攻击者使用的操作系统
继续分析web日志,筛选黑客的ip地址
cat /var/log/apache2/access.log1 | grep "192.168.1.7" //查看过滤192.168.1.7内容的行
可以看到它的操作系统是linux x86_64
所以flag是flag{Linux x86_64}
3.找出攻击者资产收集所使用的平台
资产收集平台就是搜索引擎,常用的资产收集平台有fofa shodan
这个的话就通过日志中的浏览器来筛选出来就行
cat /var/log/apache2/access.log | grep "Mozilla/5.0" //筛选Mozilla/5.0的数据包
这里找到了攻击者使用的资产收集平台是https://www.shodan.io/search?query=php
flag{shodan}
4.提交攻击者目录扫描所使用的工具名称
这个在第一题的时候就已经找出来了,如图
flag{DIRSEARCH}
5.提交攻击者首次攻击成功的时间,格式:DD/MM/YY:HH:MM:SS
这里需要找POST或者*.php类文件查看,在POST中有一个请求是上传文件的,往下有1.php文件,1.php?2022=id 1.php?2022=whoami,那么首次攻击成功时间就是POST上传文件的时间
flag{24/Apr/2022:15:25:53}
6.找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码
我们在上一个提上看到了后门文件是1.php,但是需要完整路径,那么全局搜索1.php,找到了黑客上传shell文件的保存位置,cat /var/www/html/data/avatar/1.php 看到密码是2022
flag{/var/www/html/data/avatar/1.php_2022}
7.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
恶意代码就是eval、system、等
那么全局查找eval
cat `find / -name '*.php' -type f` | grep 'eval' //全局找php后缀,普通文件,内容中有eval的
找到了一个后门这样只需要找出来它的完整路径就好了,但是通过eval找可能会返回多个路径,这里通过找catchmeifyoucan来找完整路径 find / -name '*.php' -type f | xargs grep catchmeifyoucan
flag{/var/www/html/footer.php}
8.识别系统中存在的恶意程序进程,提交进程名
既然是找进程那么必然是使用命令ps 查看进程,这里使用ps -aux来查看详细进程信息
一般恶意进程就是找执行文件,还有就是一堆命令,这很可能是恶意程序
这里发现一个./prism这是执行了一个文件,比较可疑,继续排查
查看定时任务 crontab -l
这里发现在定时任务中也进行了执行./prism这个操作
flag{./prism}
9.找出文件系统中的恶意程序文件,并提交文件名(完整路径)
这个不就是上一个题目的恶意程序文件的完整路径嘛,通过上一个题目ps -aux找出来的恶意程序的pid来找到它的完整路径即可 命令为 lsof -p 909
flag{/root/.mal/prism}
10.请分析攻击者的入侵行为与过程
1.通过shadan资产收集发现网站存在漏洞
2.使用dirsearch工具对网站进行了扫描,发现文件上传点
3.发现网站存在文件上传漏洞,上传了webshell,反弹shell进行了提权操作
4.提权获得了root权限
5.上传或是编写了权限维持的恶意程序来维持权限