秋季期中考复现xj

flow analysis 1

What is the backdoor file name that comes with the server?( Including file suffix)

服务器自带的后门文件是什么?(含文件后缀)

 题目还要求最后把那个文件名MD5一下,再去提交

开始的前三题是流量分析的,我们就用wireshark打开看看

先从http入手,就会发现d00r.php文件,但是提交之后发现不是

然后在检索d00r.php时发现了一个名为ViewMore.php的文件

 右键追踪TCP流发现是ViewMore.php写入的d00r.php,也就是说d00r.php是后续生成的

ViewMore.php

 flow analysis 2

What is the internal IP address of the server?

服务器的内部 IP 地址是什么

这里应该用刚刚door.php进行继续渗透的

如果要判断一下的话就是

http.request.uri contains "d00r.php"

对d00r.php 进行了命令执行并执行了ifconfig

在最后一个d00r.php中的数据流发现了两个ip地址

 在它的返回包里面就会发现是下面这一个

 192.168.101.132

 

 flow analysis 3

What is the key written by the attacker to the server?

攻击者写入服务器的密钥是什么?

 继续追踪刚刚的数据流,里面写入了一些东西

 经过url解码之后,得到

UEsDBBQAAQAAANgDvlTRoSUSMAAAACQAAAAHAAAAa2V5LnR4dGYJZVtgRzdJtOnW1ycl/O/AJ0rmzwNXxqbCRUq2LQid0gO2yXaPBcc9baLIAwnQ71BLAQI/ABQAAQAAANgDvlTRoSUSMAAAACQAAAAHACQAAAAAAAAAIAAAAAAAAABrZXkudHh0CgAgAAAAAAABABgAOg7Zcnlz2AE6DtlyeXPYAfldXhh5c9gBUEsFBgAAAAABAAEAWQAAAFUAAAAAAA==

再经过base64解码就可以发现它是一个以PK开头的,是zip文件的文件头

看到了cat /passwd的命令,然后看他的返回包找到了密码

找到疑似密码:7e03864b0db7e6f9,解压出来就可以看到答案了

7d9ddff2-2d67-4eba-9e48-b91c26c42337

 接下来就是取证的

Forensics 1

What is the key in the disk?

磁盘中的密钥是什么

 用到内存取证工具vol

vol.py -f baby_forensics.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003df94070 -D ./

 

打开key.txt得到

E96<6J:Da6g_b_f_gd75a3d4ch4heg4bab66ad5d

rot47一下

 2e80307085fd2b5c49c968c323ee25d5

 Forensics 2

What is the result of running a calculator on the computer?

在计算机上运行计算器的结果是什么?

vol.py -f 2023exam.raw --profile=Win7SP1x64 windows > windows

就是有点难找,这里需要耐心的找一下

 fa507c856dc4ce409ede2f3e2ab1993d

Forensics 3

What is the flag value present in this memory file? 

此内存文件中存在的flag值是什么?

用010打开raw文件

U2FsdGVkX195MCsw0ANs6/Vkjibq89YlmnDdY/dCNKRkixvAP6+B5ImXr2VIqBSp
94qfIcjQhDxPgr9G4u++pA== 

知道是aes加密,但是没有密钥

R-Studio翻,最后在C:/Users/admin/Music下找到个i4ak3y.dat里面存放着key

qwerasdf为key

对于内存取证还是不太熟悉,还是要加强一下的。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值