第一届长城杯信息安全铁人三项赛决赛 取证溯源 wp

取证溯源

1、您的同事李白在运维一台部署了移动应用服务端的linux服务器时发现了异常，好像被黑客攻击了。小李通过简单分析，发现可能是由于公司的移动应用和其服务端程序都存在安全问题导致的。小李将当天可能与攻击相关的流量导出，并与移动应用一起打包压缩，你可以下载分析，也可以登录此服务器进行攻击溯源、排查等，提供了SSH和VNC访问的方式供您和您的团队进行分析取证。

关卡01： 100 分

关卡描述：黑客攻击此服务器所使用的2个IP分别是什么（ascii码从小到大排列，空格分隔）

流量包得到第一个攻击ip

在定时反弹的邮件中得到另一个ip

202.1.1.1 202.1.1.129

关卡02： 50 分

关卡描述：存在安全问题的apk中使用的登录密码是什么?

jadx打开搜索password

password663399

关卡03： 50 分

关卡描述：黑客尝试上传一个文件但显示无上传权限的文件名是什么？

在流量包中搜索

pic.jpg

关卡04： 150 分

关卡描述：黑客利用的漏洞接口的api地址是什么?（http://xxxx/xx)

找到上传成功的那个包即可

http://202.1.1.66:8080/api/upload

关卡05： 150 分

关卡描述：黑客上传的webshell绝对路径是什么？

连上靶机，找到tomcat根目录，然后根据上一题的访问路径找到shell

/usr/local/tomcat/webapps/ROOT/static/s74e7vwmzs21d5x6.jsp

关卡06： 150 分

关卡描述：黑客上传的webshell的密码是什么？

分析上上题的代码

bing_pass

关卡07： 200 分

关卡描述：黑客通过webshell执行的第一条命令是什么？

筛选访问/static/s74e7vwmzs21d5x6.jsp的流量

第一个包是冰蝎的状态检测，所以应该看第二个包

密钥是b99f657b04941030

解aes后反编译

pwd

关卡08： 150 分

关卡描述：黑客获取webshell时查询当前shell的权限是什么？

继续跟/static/s74e7vwmzs21d5x6.jsp的流量

找到执行whoami的

拿返回值解密aes，再解base64

tomcat

关卡09： 150 分

关卡描述：利用webshell查询服务器Linux系统发行版本是什么？

步骤和上一题一样

有一个包执行了cat /etc/redhat-release，找返回值解密即可

CentOS Linux release 7.4.1708 (Core)

关卡10： 50 分

关卡描述：黑客从服务器上下载的秘密文件的绝对路径是什么？

shell同目录下可以看到secert.file

/usr/local/tomcat/webapps/ROOT/static/secert.file

关卡11： 50 分

关卡描述：黑客通过反连执行的第一条命令是什么？

找到反弹shell的地址202.1.1.129:4444

在流量包中筛选4444端口，然后追踪流

cat /etc/passwd

关卡12： 50 分

关卡描述：黑客通过什么文件修改的root密码（绝对路径）

图片同上

/etc/passwd

关卡13： 250 分

关卡描述：黑客设置的root密码是多少？

爆破上上图中的hash

123456

关卡14： 50 分

关卡描述：黑客留下后门的反连的ip和port是什么？（ip:port)

查看定时任务

202.1.1.129:9999

关卡15： 150 分

关卡描述：黑客通过后门反连执行的第一条命令是什么？

流量过滤9999单端口

rpm -qa | grep pam

关卡16： 200 分

关卡描述：黑客通过什么文件留下了后门？

根据上一题的命令去搜索pam相关文件

找到/usr/lib/security/pam_unix.so和/usr/lib64/security/pam_unix.so

存在后门

pam_unix.so

关卡17： 300 分

关卡描述：黑客设置的后门密码是什么？

继续往下走，直接看到密码

ssh_back_pwd

关卡18： 250 分

关卡描述：黑客的后门将root密码记录在哪个文件中？（绝对路径）

继续向下

/tmp/.sshlog