Linux后门应急
1、主机后门用户名称:提交格式如:flag
进来先对终端升级一下
python -c 'import pty; pty.spawn("/bin/bash")'
直接使用cat /etc/passwd 查看后面用户
flag{backdoor}
2、主机排查项中可以发现到flag{}内以i开头的flag,如flag
我们可以使用ps -ef查看某个进程是否存在、运行命令、父进程ID等
flag{infoFl4g}
3、主机排查发现9999端口是通过哪个配置文件如何开机启动的,如/etc/crontab则填写/etc/crontab 的md5 ,提交方式示例:flag
/etc/systemd/system 查看自启动服务的相关配置文件,打开 rc-local.service,执行了 /etc/rc.d/rc.local 文件
解码得到
while true;do nohup nc -lvp 9999 -c "flag{infoFl4g}" 2>&1 ;sleep 1;done;
flag{cf8a978fe83579e2e20ec158524d8c06}
4、黑客3s做了记录所有用户的每次登陆的密码的手段,flag为黑客记录的登陆密码日志路径md5,提交方式示例:flag
可以在/tmp目录下面,有个隐藏的.sshlog文件
flag{8997d5a1b8dcca5a4be75962250959f7}
5、给出使用了/bin/bash 的RCE后门进程名称+端口号 如进程名称为sshd,端口号为22,则flag
逐一排查systemctl启动配置文件存放位置
/etc/systemd/system
/usr/lib/systemd/system
/lib/systemd/system
在 docker-compose-app.service有个/usr/lib/python3.7/site-packages/docker/startup.sh 脚本
使用base64解密是Reverse Shell
flag{python38080}
6、找出开机启动的后门服务名称MD5,提交flag
使用命令查看开机自启动的服务systemctl list-unit-files --type=service --state=enabled
flag{5213e47de16522f1dc3f9e9ecc0ab8b0}
7、渗透提权获得root目录下的flag
使用docker进行提权
user 用户在 docker 组里面,而且 docker 有 root 权限
docker run -v /:/mnt -it alpine
chroot /mnt bashls
flag{ATMB_root}
8、黑客3s埋了一个flag在权限维持过程中的地方,可以发现flag{}括号内的首字母是c开头,如flag
find / -type f -newermt '2024-09-24 01:30:00' ! -newermt '2024-09-24 23:31:00' 2>/dev/null|grep -v docker
cat -A /var/spool/cron/crontabs/root,发现flag,加-A 参数
flag{cr0nt4b_IRfind}
9、黑客3s做了一个root用户执行cat命令就删除文件的操作,请发现删除了什么文件将文件名作为flag提交
检测是否存在 LD_PRELOAD 劫持
追踪一下 /bin/cat 命令strace -f -e trace=file /bin/cat
加载了恶意的 so 文件strings 一下
flag{.bash_history}
10、黑客3s很执着清理痕迹,并做了一个持续删痕迹的手段,请发现手段并给出删除的完整黑客删除命令的md5,如flag
就是上面的答案
flag{rm -rf ~/.bash_history >/dev/null 2>&1}
flag{b0f531b39d88d4f603fc89bd4dd2c0aa}
11、黑客3s设置了一个万能密码后门使得这一个万能密码可以以所有用户身份登陆,也不影响原来密码使用。请发现这个万能密码,提交flag格式为flag
我们可以排查一下 /usr/lib/x86_64-linux-gnu/security/pam_unix.so
为什么要重点排查 /usr/lib/.../security/pam_unix.so
pam_unix.so是 Linux 上最常见的 PAM(Pluggable Authentication Module)模块,负责处理本地账号的验证(如login、sshd、su、sudo等用到的本地密码校验)。- 攻击者要“记录每次登录的密码”,一个经典手法就是替换或篡改 PAM 模块(把官方的
pam_unix.so换成带后门的版本),这样所有走 PAM 的本地认证都会被截获密码。 - 因此一旦怀疑有“记录密码”的后门,
/usr/lib/.../security/pam_unix.so是首要排查对象:检查文件是否被替换、被注入恶意代码或是否被 LD_PRELAD/其他 hook 技术拦截。
将这个文件下载下来进入IDA进行反编译
flag{ATMB6666}