tags:
- THL
- 应急响应
Type: wp
dg-publish: true
系统: Linux
靶机链接 https://thehackerslabs.com/binary-trail/
难度 ⭐️⭐️️
这里写目录标题
- 2. 可疑二进制文件的名称是什么?
- 3. 二进制文件在系统中隐藏了哪个文件?
- 4. 二进制文件在系统日志中留下了哪些命令的痕迹?
- 5. 在哪个日志文件中发现了这些痕迹?(路径)
- 6. 隐藏文件 /etc/.shadow_auth 的权限是多少?(数字形式)
2. 可疑二进制文件的名称是什么?
使用 find 命令搜索非标准目录中的可疑二进制文件 且修改时间大于2024-12-20
root@oscar:~# find / -type f -executable -not -path "/bin/*" -not -path "/usr/*" -not -path "/sbin/*" -newermt 2024-12-20 2>/dev/null
/etc/grub.d/01_password
/etc/grub.d/10_linux
/opt/auth_proxy
/etc/grub.d/是 GRUB 引导加载程序的配置脚本目录10_linux通常负责加载 Linux 内核 所以基本可以排除上面两个
/opt一般是第三方程序的安装目录,所以这个可疑程序就是auth_proxy
3. 二进制文件在系统中隐藏了哪个文件?
利用 strings 命令进行提取 含有 / 的字符串。一般文件都会与这个有关
root@oscar:~# strings /opt/auth_proxy | grep "/"
/lib64/ld-linux-x86-64.so.2
touch /etc/.shadow_auth/etc/.shadow_auth
4. 二进制文件在系统日志中留下了哪些命令的痕迹?
查看系统日志即可
root@oscar:~# strings /var/log/auth.log.1 | grep "auth_proxy"
Dec 21 10:32:45 server auth_proxy: touch /etc/.shadow_auth
Dec 21 10:32:45 server auth_proxy: Probando creaci
Dec 21 10:32:45 server auth_proxy: touch /etc/.shadow_auth
Dec 21 10:32:45 server auth_proxy: Probando creaci
Dec 21 10:32:45 server auth_proxy: touch /etc/.shadow_auth
Dec 21 10:32:45 server auth_proxy: Probando creacitouch
上面执行 strings /opt/auth_proxy | grep "/" 时就给出了这个命令
5. 在哪个日志文件中发现了这些痕迹?(路径)
我们在 /var/log/auth.log.1 里面发现了痕迹,但因为日志文件的轮转机制,所以其实是日志文件 /var/log/auth.log 这里面的内容
6. 隐藏文件 /etc/.shadow_auth 的权限是多少?(数字形式)
root@oscar:~# stat -c "%a" /etc/.shadow_auth
600600