【blueteam-ctf-challenges流量取证部分】EscapeRoom Blue Team Challenge

已于 2023-11-26 23:01:11 修改
阅读量74 收藏
点赞数
分类专栏: blue team 文章标签: 网络 安全 安全威胁分析 linux
于 2023-11-15 23:55:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64836216/article/details/134431921
版权

EscapeRoom Blue Team Challenge

这是一道流量分析结合可执行程序木马的逆向题目,难度适中
在这里插入图片描述

Q1

What service did the attacker use to gain access to the system?
SSH在这里插入图片描述
在这里插入图片描述

Q2

What attack type was used to gain access to the system?(one word)

bruteforce

流量中可以看到有多次ssh连接,所以推测是暴力破解。运行SSH的服务器通常是暴力攻击的软目标
在这里插入图片描述
在这里插入图片描述

Q3

What was the tool the attacker possibly used to perform this attack?

hydra

搜一搜常见的ssh攻击工具,然后尝试得到是海德拉
在这里插入图片描述

Q4

How many failed attempts were there?

52

一共有54个连接ssh的tcp的请求,其中有两个传输的数据较多,所以判断出有两个连接成功,所以有52个失败了
在这里插入图片描述
在这里插入图片描述

Q5

What credentials (username:password) were used to gain access? Refer to shadow.log and sudoers.log.

manager:forgot

直接解hash就可以了,然后看哪些有root权限
在这里插入图片描述在这里插入图片描述在这里插入图片描述

Q6

What other credentials (username:password) could have been used to gain access also have SUDO privileges? Refer to shadow.log and sudoers.log.

和第五题一样,剩下几个跑不出密码

sean:spectre

在这里插入图片描述

Q7

What is the tool used to download malicious files on the system?

wget

在这里插入图片描述这个是攻击机,后面是上传马的过程
在这里插入图片描述wget下载的
在这里插入图片描述

Q8

How many files the attacker download to perform malware installation?

3

在这里插入图片描述

用networkminer分析一下文件,发现上传了3个elf
在这里插入图片描述最后一个伪装了html

Q9

What is the main malware MD5 hash?

772b620736b760c1d736b1e6ba2f885b

可以看出来执行命令的内容,判断出1是主要的马,添加了+x权限,用networkminer可以查看md5
在这里插入图片描述在这里插入图片描述

Q10

What file has the script modified so the malware will start upon reboot?

/etc/rc.local

在这里插入图片描述
GPT分析法
在这里插入图片描述
第3行说明了自动启动的程序
在这里插入图片描述

Q11

Where did the malware keep local files?

/var/mail/

将文件1移动到了/var/mail/mail,所以文件在/var/mail/

在这里插入图片描述
在这里插入图片描述

Q12

What is missing from ps.log?

/var/mail/mail

前面可以知道mail会运行,但是在ps中没有他
在这里插入图片描述
在这里插入图片描述

Q13

What is the main file that used to remove this information from ps.log?

sysmod.ko

还是代码分析,可以看出来利用sysmod.ko,将mail程序隐藏了
在这里插入图片描述
在这里插入图片描述

Q14

Inside the Main function, what is the function that causes requests to those servers?

requestFile

开始逆向一下1.html,先查壳,发现有upx壳
在这里插入图片描述
利用**upx -d 1.html **脱壳
在这里插入图片描述用ida查看,发现好多函数,看到requestfile有点像访问的函数,F5点进去看一下
在这里插入图片描述
发现是wget的脚本,所以可以确定是这个函数
在这里插入图片描述
一个简单的逆向
在这里插入图片描述

Q15

One of the IP’s the malware contacted starts with 17. Provide the full IP.

174.129.57.253

直接梭哈
在这里插入图片描述在这里插入图片描述

Q16

How many files the malware requested from external servers?

9

一共13个文件,三个elf,剩下9个都是上传的图片马
在这里插入图片描述
在这里插入图片描述

Q17

What are the commands that the malware was receiving from attacker servers? Format: comma-separated in alphabetical order

Nop,Run

最后这个有回到了前面的逆向,要找到返回执行的命令
在这里插入图片描述
查看这个函数,看着像是要找的函数(message嘛
在这里插入图片描述
在这里插入图片描述
里面都是文件读取啥的

没有发现啥,看另一个函数
在这里插入图片描述
然后将上面判断的编码改为char
在这里插入图片描述
fwrite函数输出了a1
在这里插入图片描述

Q1anhuang2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
流量分析-CTF-ATTACK流量分析
theenderofroot的博客
04-18 1065
1. 使用Wireshark查看并分析虚拟机windows 7桌面下的attack.pcapng数据包文件,通过分析数据包attack.pcapng找出黑客的IP地址,并将黑客的IP地址作为FLAG。回过头来看第2题,因为黑客的端口探测技术无非是通过爆破端口号实现的,那么我们不需要看黑客的请求包,只看服务器的响应包就行了,把源目ip调换位置。2. 继续查看数据包文件attack.pacapng,分析出黑客扫描了哪些端口,并将全部的端口作为FLAG从低到高提交。
awesome-cybersecurity-blueteam-cn:网络安全 · 攻防对抗 · 蓝队清单,中文版
04-14
Awesome Cybersecurity Blue Team - CN 攻防对抗 · 蓝队清单,中文版 本项目基于,经过蹩脚的翻译和一些补充,旨在帮助以中文为母语的安全研究者更好地了解蓝队工作,以及便利地找寻蓝队工具。 非常感谢原作者的...
网络安全CTF流量分析-入门5-SSH登录流量Linux基本操作流量
m0_51198141的博客
11-23 265
这道题还是比较简单的,只要熟悉基本的Linux命令和得到相应的结果就能根据题目找到答案,重点在于打开TCP流量观察,和对Linux系统的熟练度。欢迎师傅们交流沟通
CTF实验:ssh泄露
floyd_art的博客
12-04 371
CTF实验:ssh泄露 信息收集 两台虚拟机均为桥接,一台kali一台ssh私钥泄露主机。在kali中输入ifconfig查看网段 在输入netdiscover 192.168.43.1/24 查询网段主机 ping 192.168.43.134 发现ping通,那么用nmap探测该ip 对网页的分析 探测后发现端口号为31337比较可疑,所以在浏览器中输入http://192.168.43...
CTF通过Wireshark对USB流量取证分析
Mark的博客
11-19 7469
流程: 1、先过滤保存flag部分 通过usb.src =="1.3.1"过滤 然后文件导出特定分组得到具体的流量包 2、进行提取Data块(有点艰难) A:在winshark中提取不带冒号的4个字节 ./tshark -r 6.pcapng -T fields -e usb.capdata > out.txt B:可以利用脚本在每两个字节中加上冒号也可以像我用excel(万年office老手)利用数据中的分列分取出四个字节然后用&加冒号连接起来,最后利用ctrl+shift+Enter+↓
CTF——杂项3.流量取证技术
woo233的博客
09-09 2890
先用wireshark筛选http的流量,假如没有则筛选tcp的流量,因为getshell是在命令行中执行的,可以用tcp contains “command”在关注的http.数据包或tcp数据包中选择流汇聚,可以将HTTP流或TCP流汇 聚或还原成数据,在弹出的框中可以看到数据内容。在关注的http.数据包或cp数据包中选择流汇聚,可以将HTTP 流或TCP流汇聚或还原成数据,在弹出的框中可以看到数据内容。比如查看数据包的时候,有的数据包有某种特征,比如有http(80)。Data数据单独复制出来。
blue-team:蓝色团队脚本
02-06
"blue-team"是一个专注于安全防御的项目,通常与“红队”相对,红队主要负责攻击,而蓝队则负责防御。在这个项目中,“蓝色团队脚本”可能是一系列用于加强系统安全、检测威胁和应对网络安全事件的自动化脚本。这些...
purple-team-exercise-framework:紫色团队运动框架
05-05
安全运营中心(SOC),寻线团队,数字取证和事件响应(DFIR)和/或托管安全服务提供(MSSP) 虽然红色团队参与被视为“零知识”参与,但蓝色团队在参与之前或期间并未意识到对手的模仿,而紫色团队演习则是全面的...
blueteam:我为CrikeyCon 2021 Red vs Blue CTF构建的Blueteam工具
05-05
此仓库包含我为2021 CrikeyCon Red vs Blue CTF编写的软件。 这两个项目是nginx工具包和一个用于计分的信标项目。 Nginx工具包 因为我不确定是否会有可靠或快速的Internet,所以我想要一种将应用程序加载到服务器上...
igor-blue.github.io:Blueteam和HW博客
05-03
在“igor-blue.github.io:Blueteam和HW博客”这个项目中,我们可以看到一个与IT行业中的Web开发相关的资源。这个项目似乎是一个个人或团队的博客,专注于Blueteam网络安全防御)和硬件(HW)相关的话题。博客基于...
CTF流量分析:从入门到精通】
最新发布
qq_33295410的博客
02-27 1万+
CTF(Capture The Flag)是一种网络安全竞赛,其中流量分析是一种常见的题型。流量分析就是通过分析网络流量包,提取出有用的信息,如密码、密钥、文件、flag等。流量分析需要掌握一些基本的网络协议知识,以及一些常用的工具和技巧。本文将介绍流量分析的基本概念,常见的题型和解题方法,以及一些实战案例,帮助你从入门到精通流量分析
CTF之misc-流量分析
热门推荐
Battery的博客
05-04 13万+
流量包异常修复pcap包。
CTF基本解题思路-杂项-(4)流量取证
Eric___Qu的博客
01-16 753
描述必要工具:Wireshark。
网络安全CTF流量分析-入门8-攻击流量行为分析
m0_51198141的博客
11-26 577
1.攻击者爆破使用的账号和密码是多少2.攻击者发现软件存在越权漏洞,请给出攻击者越权使用的Cookie的内容的md5值3.攻击者使用jdbc漏洞读取了应用配置文件,给出配置文件中的数据库账号密码4.攻击者又使用CVE攻击了应用,执行系统命令,请给出此CVE编号以及远程Exp的文件名5.给出攻击者获取系统权限后,下载的工具的名称这道题整体就是分析出整个流量的行为就行,做起来还是比较舒服并且贴合实际情况,但是要有一定的逻辑思维,否则容易陷入误区。
CTF流量分析之密码文件
shy的博客
08-11 1369
深夜里,Hack偷偷的潜入了某公司的内网,趁着深夜偷走了公司的秘密文件,公司的网络管理员通过通过监控工具成功的截取Hack入侵时数据流量,但是却无法分析出Hack到底偷走了什么机密文件,你能帮帮管理员分析出Hack到底偷走了什么机密文件吗?只能导出http流量内的文件,选中想要保存的文件,点击save,即可保存成功,但是保存的文件中还有大量的流量数据包,需要手工删减。6、如果有流量,就追踪TCP流,然后将默认数据保存格式为ASCII,需要修改为原始数据,选择另存为。2、统计-协议分级,发现存在FTP流量
blueteam-ctf-challenges流量取证部分】PsExec Hunt Blue Team Challenge
weixin_64836216的博客
11-07 196
PsExec Hunt Blue Team Challenge,蓝队的题都比较偏向实战,这道题是一个比较简单的流量分析题目,主要是关于内网横向移动的流量,拿到这里和大家分享一下,网上wp比较少,所以写一个记录一下,留着自己看。如果有问题希望师傅们指正。
CTF——流量分析题型整理总结
小锤队长的博客
12-19 4万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
渗透测试CTF-流量分析
保持微笑的博客
11-03 3978
渗透测试CTF-流量分析
CTF线下赛AWD总结
YICONGITSME的博客
09-20 3万+
AWD     记录一下自己最近参加的线下攻防比赛,没时间学习了,就准备了几天,果然不出意外的被安全专业的大佬打得很惨。 缺点是不会攻击,我和我队友两个人就只有防,AWD防了400分,综合渗透拿了200分。 感觉自己的知识欠差很多,代码审计能力弱,写脚本能力弱,sql注入我一直学不会。最重要的是比赛前没有真正练习过,所以比赛时才没把技能发挥出来。谨记:多实践,学好代码审计,sql注入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Q1anhuang2

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值