第七章 常见攻击事件分析--钓鱼邮件

第一关：请分析获取黑客发送钓鱼邮件时使用的IP，flag格式： flag

让找到hacker发邮件的ip，所以分析钓鱼邮件.eml文件
打开之后其实很容易就能看到ip

补充：

在分析邮件的来源时，邮件头部的 “Received” 部分是关键。邮件在传输过程中，每经过一个邮件服务器，这部分都会新增一条记录。最早的一条记录（即最后一个 “Received” 部分）通常包含了原始发件者的IP地址，因此通过查看这条记录，可以更准确地找到邮件的真实发件IP地址。

flag{121.204.224.15}

第二关：请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP，flag格式：flag

可以直接扔到沙箱里面分析
flag{107.16.111.57}

第三关：黑客在被控服务器上创建了webshell，请分析获取webshell的文件名，请使用完整文件格式，flag格式：flag

d盾直接分析var/www/html/目录就行，就找到了

flag{/var/www/html/admin/ebak/ReData.php}

第四关：黑客在被控服务器上创建了内网代理隐蔽通信隧道，请分析获取该隧道程序的文件名，请使用完整文件路径，flag格式：flag

黑客在被控服务器上创建了内网代理隐蔽通信隧道，请分析获取该隧道程序的文件名，请使用完整文件路径

tip：可以去临时目录下分析文件

然后发现两个文件

分析my.conf：

[common]
server_addr=178.102.115.17:52329
conn_type=tcp
vkey=6bHW7m4SMvy
auto_reconnection=true
max_conn=1000
flow_limit=1000
rate_limit=1000

# username and password of http and socks5 proxy
# basic_username=11
# basic_password=3
# web_username=user
# web_password=1234
crypt=true
compress=true

● [common]:
这个部分表明配置文件的通用设置。
● server_addr=178.102.115.17:52329:
服务器地址和端口号。这个配置指向外部服务器（IP 地址 178.102.115.17，端口 52329），可能是黑客用来控制或接管服务器的地址。
● conn_type=tcp:
连接类型为 TCP。
● vkey=6bHW7m4SMvy:
验证密钥或访问密钥，用于验证连接请求。
● auto_reconnection=true:
自动重连设置为 true，表示断线后会自动重连。
● max_conn=1000:
最大连接数为 1000，表示最多可以建立 1000 个连接。
● flow_limit=1000 和 rate_limit=1000:
流量限制和速率限制，均为 1000。这些限制可能用于控制带宽使用。
● crypt=true 和 compress=true:
数据加密和压缩设置为 true，表示传输的数据会被加密和压缩，以提高安全性和效率。
● # username and password of http and socks5 proxy:
注释部分，提到 HTTP 和 SOCKS5 代理的用户名和密码配置（已被注释掉）
这个就是隧道程序文件
本来以为提交这个文件，交了发现不对，题目让交的是获取该隧道程序的文件，所以提交mysql文件正确
flag{/var/tmp/proc/mysql}