玄机-挖矿-学校挖矿排查

步骤1

先用xshell连接上靶机
账密：

端口：2222
账号：root
密码：edusec123

查看根目录，发现存在恶意流量文件，下载到本地用wireshark分析。

提示被攻击的ip是192.168.37.11

使用命令查看http协议且目标ip为对应ip的流量http and ip.dst == 192.168.37.11

我们要找存在扫描web特征的ip，由于扫描时会访问大量不存在的路由，不同站点不存在响应状态码可能不同，所以先看看不存在状态码是多少，再进行筛选

ok，404

筛选状态码为404的ip

然后点统计，会话，

复制为csv到vscode查看行数，筛掉源ip是11的，还有两个是分组比较少，可能是正常访问，也筛掉。

共29个ip，所以

flag

flag{29}

步骤2

在2025.6.22日17点03分27秒，192.168.37.10，55689端口进行访问的url路径以flag方式进行提交(应急三要素缩小范围)

这里给出具体时间，ip，端口，由于实际场景会产生大量流量，不可能全时间段排查。而是会确定排查范围，这就是这题的意义。

ip.addr == 192.168.37.10 and ip.dst == 192.168.37.11 and tcp.port == 55689

可以看到三条请求，分别追踪流查看

POST /servlet/user/uploadAvatar HTTP/1.1
GET /servlet/user/profile?uploadSuccess=true
GET /uploads/06853c4f-8b05-4949-90ae-9adc49f27a94.jsp

根据这个路径分析可知，第一个是上传文件，第二个显示上传成功，第三次是在访问上传的文件，所以这是个任意文件上传攻击。

题目说指定时间访问的url路径

发现就是第三个请求，所以把这个路径作为flag

flag2

flag{/uploads/06853c4f-8b05-4949-90ae-9adc49f27a94.jsp}

3.提交存在使用NMAP扫描特征的IP

NMAP最大特征： 扫描 HTTP 时，会在 URL 及 UA 里包含 nmap 关键字特征，根据这个进行筛选

http.request.headers contains "Nmap"  
http.user_agent contains "Nmap"

找到攻击ip

假如对方没有扫描HTTP协议，只进行了端口扫描？
那么在nmap中使用TCP SYN扫描的情况下，可以进行筛选。

基于 TCP 标志位（SYN 扫描特征）筛选
tcp.flags.syn == 1 && tcp.flags.ack == 0

默认情况下大部分版本的nmap窗口大小为1024，当然也有其它版本的扫描可能为：2048,3072,4096

tcp.flags.syn == 1 and tcp.window_size == 1024 and tcp.len == 0 and ip.frag_offset == 0

也可能存在使用udp协议扫描的方式

flag

flag{192.168.37.4}

4.审计流量并结合web站点，攻击者通过什么漏洞进行控制主机，提交漏洞文件名接口

追踪文件上传的http流，题目的意思是要提交的接口（看不懂这表达，看别人wp知道的，不然我以为是要文件名呢）

可以看到在标记接口提交了shell文件

flag4

所以flag是

flag{uploadAvatar}

5.审计流量并结合web站点，攻击者通过哪个用户名利用的漏洞，提交其注册用户名

那么我们就要先去找登录的路由是什么，然后过滤路由，查看流量，看看发送的用户名

随便登一下，跳转到这个路由，如果url这里没保存，可以抓包看看路由是什么。
或者f12看看网络栏。

ip.addr==192.168.37.10&&http.request.uri=="/servlet/user/login

依旧过滤流量然后追踪流，得到账密

flag5

flag{wangyunqing}

6. 审计流量并结合漏洞，提交攻击者控制成功木马文件名

这个在上文追踪流知道上传了个jsp，提交成功。

先看看这个攻击ip都有哪些请求，然后统计一下
ip.src == 192.168.37.10 && http.request

发现有个流量请求了足足93次，ok，就是你了。

里面有异常加密流量，看wp这是木马内容，暂时先不弄。

todo

把流量解析一下

flag

flag{70b86b64-ce15-46bf-8095-4764809e2ee5.jsp}

7、审计流量并清除掉攻击者上传的木马，清除成功后在/var/flag/1/flag中查看flag并提交

模糊化查询

find / -name *809e2ee5.jsp

删除并查看flag

rm -rf /var/lib/tomcat9/webapps/ROOT/uploads/70b86b64-002dce15-002d46bf-002d8095-002d4764809e2ee5.jsp

flag

flag{1979c46c2af37dc62a4b05881e816995}

8. 黑客拿到主机权限后，上传了挖矿木马，需要你提交矿池地址

先看看异常程序

使用top查看cpu占用，这个java异常的高

查看程序

ps -ef 913

这个程序运行了这么久，就是这个了
反编译找到这个类，里面有写矿池地址

flag

flag{pool.minexmr.com:4444}

9.清除掉主机上的挖矿木马，完成后在/var/flag/2/flag文件中查看flag并提交

10.黑客做了后门，即使你清除以后，仍然会定时更新挖矿程序并运行，你找到这个程序，提交其路径

排查计划任务

crontab -l

发现一个每分钟执行的程序

ls -la /etc/cron*

查看/etc/cron没发现异常

查看程序

这段 Bash 脚本是 恶意挖矿程序的守护脚本，作用是：

• 监控：检查 java -jar /tmp/miner.jar 挖矿进程是否运行
• 自恢复：若进程/程序文件丢失，从隐藏备份（/usr/share/.miner/miner.jar）恢复并重启
• 隐蔽性：日志藏系统目录，进程后台静默运行，持续偷算力挖矿

flag

flag{/usr/share/.per/persistence.sh}

11.清除掉后门挖矿程序，在/var/flag/3/flag下查看提交flag

crontab -e //编辑计划任务清除掉计划任务  
rm /usr/share/.per/persistence.sh //删除掉后门脚本程序  
rm /usr/share/.miner/miner.jarh //删除备份挖矿程序  
rm /tmp/miner.jar //删除已恢复的挖矿脚本  
kill -9 (PID) //杀掉挖矿进程

flag

flag{27bd067769b51ed71f899c7a6f08af2c}