靶机的环境：Linux webserver 5.4.0-109-generic

1.提交攻击者的 ip地址

       linux应急响应需要知道黑客想要进入服务器或者内网，一定从web入手

所以应急响应的i第一步应该就是看一下web日志，看进行了神码操作

apache的网站日志是/var/log/apache2/access.log ，如果不知道可以find / -name ”access.log“

nginx的日志目录是/var/log/nginx/access.log

这里有两个日志文件，一个是access.log和access.log1，第一个没有数据access.log1如下

筛查出GET请求的数据包

cat /var/log/apache2/access.log1 | grep "GET"  //晒出来GET请求的流量

可以看到黑客的ip地址是192.168.1.7

flag{192.168.1.7}

2.识别攻击者使用的操作系统

继续分析web日志，筛选黑客的ip地址

cat   /var/log/apache2/access.log1 | grep "192.168.1.7"   //查看过滤192.168.1.7内容的行

 

可以看到它的操作系统是linux x86_64

所以flag是flag{Linux x86_64}

3.找出攻击者资产收集所使用的平台

资产收集平台就是搜索引擎，常用的资产收集平台有fofa shodan

这个的话就通过日志中的浏览器来筛选出来就行

cat  /var/log/apache2/access.log | grep "Mozilla/5.0"  //筛选Mozilla/5.0的数据包

这里找到了攻击者使用的资产收集平台是https://www.shodan.io/search?query=php

flag{shodan}

4.提交攻击者目录扫描所使用的工具名称

这个在第一题的时候就已经找出来了，如图

flag{DIRSEARCH}

5.提交攻击者首次攻击成功的时间，格式：DD/MM/YY:HH:MM:SS

这里需要找POST或者*.php类文件查看，在POST中有一个请求是上传文件的，往下有1.php文件，1.php?2022=id      1.php?2022=whoami，那么首次攻击成功时间就是POST上传文件的时间

flag{24/Apr/2022:15:25:53}

6.找到攻击者写入的恶意后门文件，提交文件名（完整路径）和后门密码

我们在上一个提上看到了后门文件是1.php,但是需要完整路径，那么全局搜索1.php,找到了黑客上传shell文件的保存位置，cat /var/www/html/data/avatar/1.php  看到密码是2022

flag{/var/www/html/data/avatar/1.php_2022}

7.找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）

恶意代码就是eval、system、等

那么全局查找eval

cat  `find /  -name '*.php' -type f` | grep 'eval'   //全局找php后缀，普通文件，内容中有eval的

找到了一个后门这样只需要找出来它的完整路径就好了，但是通过eval找可能会返回多个路径，这里通过找catchmeifyoucan来找完整路径 find / -name '*.php' -type f | xargs grep catchmeifyoucan

flag{/var/www/html/footer.php}

8.识别系统中存在的恶意程序进程，提交进程名

既然是找进程那么必然是使用命令ps 查看进程，这里使用ps -aux来查看详细进程信息

一般恶意进程就是找执行文件，还有就是一堆命令，这很可能是恶意程序

这里发现一个./prism这是执行了一个文件，比较可疑，继续排查

查看定时任务 crontab -l  

这里发现在定时任务中也进行了执行./prism这个操作

flag{./prism}

9.找出文件系统中的恶意程序文件，并提交文件名（完整路径）

这个不就是上一个题目的恶意程序文件的完整路径嘛，通过上一个题目ps -aux找出来的恶意程序的pid来找到它的完整路径即可 命令为    lsof -p 909

flag{/root/.mal/prism}

10.请分析攻击者的入侵行为与过程

1.通过shadan资产收集发现网站存在漏洞

2.使用dirsearch工具对网站进行了扫描，发现文件上传点

3.发现网站存在文件上传漏洞，上传了webshell，反弹shell进行了提权操作

4.提权获得了root权限

5.上传或是编写了权限维持的恶意程序来维持权限