0x01 前言
备战蓝帽杯过程中,复盘了第五届蓝帽杯全国大学生网络安全技能大赛半决赛的一个取证题目。
0x02 复盘分析
解压文件:
题目要求找四个东西接下来具体分析,解压vmdk文件
得到一个ubuntu的vmdk文件
用取证大师加载文件
在命令日志当中发现docker的使用痕迹,推测网站是从本地的ip推测应该是从docker当中映射出端口
去docker当中找找线索
开启了ceshi01和shengchan01这两个容器,分析apche日志的时候发现了通过tp的rce 写入了一个一句话木马进入系统
继续分析日志,在写入一句话之前 有段流量来源于8080端口在请求服务器
再结合这段docker的配置文件信息 端口映射从8080到80
可以判断从8080端口进入,第一个问题解决。
接下来的是被修改过后的root用户密码,在对linux历史命令分析当中 发现了黑客修改passwd的痕迹 修改完成之后查看了shadow文件(linux系统里面存储用户密码的文件)
过滤出shadow文件 按照时间先后顺序进行排序,最后一个shadow文件就是 被更改后的秘钥文件
将这一段复制出来分析
以:分割段第一段为用户名,第二段为加密后的密文
根据现有信息可以判断 秘钥文件使用了sha-512进行加密,利用字典对加密后的passwd进行爆破
只取shadow文件当中 password部分在kali当中,利用hashcat进行爆破
爆破成功则会出现 result.txt的文件,如果不成功则不会有文件产生
得到修改过后的root用户密码 123465
在命令日志当中 发现多次操作.mimi 这个文件
搜索出这个文件计算其 md5值5363D0B99D892ECDA988FD58E893BFE0
继续下一个分析 黑客释放的工具是什么?题目提示了frp(用于内网穿透),搜索frp
Xway找到了frp的客户端和其配置文件。到取证大师当中查看具体的信息,查看其配置文件,ip为127.0.0.1。
注意这里出题人埋坑了,真实回连地址并不是配置文件当中的ip地址。
将两个文件导出,运行frp客户端抓包成功找到其回连的ip地址211.211.171.11
得到flag组合
根据题目要求计算md5值
from hashlibimport md5q1="8080"q2="123465"q3="211.211.171.11"q4="5363D0B99D892ECDA988FD58E893BFE0"q5=q4.lower()c=md5(f'{q1}-{q2}-{q3}-{q5}'.encode()).hexdigest()print(f'flag{{{c}}}')
得到flag
flag{d098c29b838c73e0819854c05f23307d}
0x03 免责声明
本文仅限于技术研究学习,切勿将文中技术细节用作非法用途,如有违者后果自负。
关于我们
“TERRA星环”安全团队正式成立于2020年,是贵州泰若数字科技有限公司旗下以互联网攻防技术研究为目标的安全团队。团队核心成员长期从事渗透测试、代码审计、应急响应等安服工作,多次参与国家、省级攻防演练行动,具备丰富的安服及攻防对抗经验。
团队专注于漏洞挖掘、漏洞研究、红蓝对抗、CTF夺旗、溯源取证、威胁情报、代码审计、逆向分析等研究。对外提供安全评估、安全培训、安全咨询、安全集成、应急响应等服务。
原文始发于微信公众号(TERRA星环安全团队):【CTF】蓝帽杯某取证题复盘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论