古语有云:“学如逆水行舟,不进则退。”面对如今随时都在变化的网络安全环境更是如此。为此,创信华通微信公众号特开设“创安实验室专栏”,以记录创信华通创安实验室在技术上的探索,加强同行间的交流,相互学习,共同进步。
✦+
+
2023“陇剑杯”网络安全大赛预选赛Writeup ②
IR
IncidentResponse_1
VMware打开 irTest.ova ,中间有一些报错,问题不大,继续即可。查看一下 root 用户最新更新过的记录文件: .bash_history 、 .viminfo
.bash_history 看了有一些修改操作,但是看了看这些文件内容貌似也没发现挖矿痕迹
.viminfo 发现了大量修改 redis 相关配置
查看 redis.conf ,这里 YOUR_WALLET_ADDRESS 就很可疑了
URL地址一查
那么挖矿程序应该就是 redis
└─# echo -n '/etc/redis/redis-server'|md5sum|cut -d '' -f1
6f72038a870f05cbf923633066e48881
IncidentResponse_2
└─# echo -n 'donate.v2.xmrig.com'|md5sum|cut -d '' -f1
3fca20bb92d0ed67714e68704a0a4503
IncidentResponse_3
直接查看 jar 包运行启动后的日志文件 nohup.log
Shiro反序列化
echo -n 'shirodeserialization'|md5sum|cut -d '' -f1
3ee726cb32f87a15d22fe55fa04c4dcd
IncidentResponse_4
攻击者都植入挖矿程序了,肯定登陆过服务器,直接 last 查看登录记录
也可以查看Nginx中的访问日志, tail /var/log/nginx/access.log
PS C:UsersAdministrator> php -r "var_dump(md5('81.70.166.3'));"
Command line code:1:
string(32) "c76b4b1a5e8c9e7751af4684c6a8b2c9"
IncidentResponse_5
就是最后访问时带的 UserAgent
PS C:UsersAdministrator> php -r
"var_dump(md5('mozilla/5.0(compatible;baiduspider/2.0;+http://www.baidu.com/search/spider.html)'));"
Command line code:1:
string(32) "6ba8458f11f4044cce7a621c085bb3c6"
IncidentResponse_6
authorized_keys 不为空,推测攻击者开启了 root 的SSH私钥登录
PS C:UsersAdministrator> php -r "var_dump(md5('/root/.ssh/authorized_keys'));"
Command line code:1:
string(32) "a1fa1b5aeb1f97340032971c342c4258"
IncidentResponse_7
/lib/systemd/system/redis.service 这个配置很可疑,一直在重启 redis ,也是在不断维持植入的矿机程序
PS C:UsersAdministrator> php -r
"var_dump(md5('/lib/systemd/system/redis.service'));"
Command line code:1:
string(32) "b2c5af8ce08753894540331e5a947d35"
SSW
SmallSword_1
直接过滤: tcp contains "$_POST"
6ea280898e404bfabd0ebb702327b18f
SmallSword_2
过滤 http ,从最后往前看,因为前面大多是扫描流量,没啥关键的。蚁剑的base64传输,直接解码一条一条看即可
在 tcp.stream eq 142 发现写入的内容
ad6269b7-3ce2-4ae8-b97f-f259515e7a91
SmallSword_3
tcp.stream eq 130 有一个 exe ,很大
选择为 原始数据 全部复制出来,去掉第一行的HTTP请求包的内容,另存为 hexdata.txt
Python简单处理即可
with open('hexdata.txt', 'r') as f:
with open('1.exe', 'wb') as f1:
lines = f.readlines()
for line in lines:
line = line.strip()
f1.write(bytes.fromhex(line))
将HTTP响应包的头以及多余数据去掉,保存
是一个Python打包的exe文件,运行得到一个 test.jpg
查看文件头,是一个 PNG 图片,修改后缀为 .PNG ,打开后CRC校验报错,推测修改了图片高度
修改高度即可
flag3{8f0dffac-5801-44a9-bd49-e66192ce4f57}
EW
ez_web_1
一开始以为是这个 d00r.php ,试了发现不对
然后在检索 d00r.php 时发现了一个名为 ViewMore.php 的文件
右键追踪TCP流发现是 ViewMore.php 写入的 d00r.php
所以答案为: ViewMore.php
ez_web_2
追踪TCP流发现执行了 ifconfig ,响应内容格式是Gzip,问题不大
对当前流选择右键,追踪HTTP就可以看到明文了
192.168.101.132
ez_web_3
还是这个流: tcp.stream eq 100098
这里写入了一个 k3y_file
是一个压缩包,直接转化
from base64 import *
base64_data =
'UEsDBBQAAQAAANgDvlTRoSUSMAAAACQAAAAHAAAAa2V5LnR4dGYJZVtgRzdJtOnW1ycl/O/AJ0rmzwNXxqbCRUq2LQid0gO2yXaPBcc9baLIAwnQ71BLAQI/ABQAAQAAANgDvlTRoSUSMAAAACQAAAAHACQAAAAAAAAAIAAAAAAAAABrZXkudHh0CgAgAAAAAAABABgAOg7Zcnlz2AE6DtlyeXPYAfldXhh5c9gBUEsFBgAAAAABAAEAWQAAAFUAAAAAAA=='
with open('k3y_file.zip', 'wb') as f:
f.write(b64decode(base64_data))
有密码,往回找找线索,还是这个流,找到疑似密码: 7e03864b0db7e6f9
解压得到答案: 7d9ddff2-2d67-4eba-9e48-b91c26c42337
T·B·C
本文由创信华通创安实验室编辑。
本文仅限于个人学习和技术研究,由于传播、利用此文所提供的信息而造成刑事案件、非授权攻击等违法行为,均由使用者本人负责,本单位不为此承担任何责任。创安攻防实验室拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。
如有侵权,请联系后台。
●
创安实验室
创信华通创安实验室,是成都创信华通信息技术有限公司旗下的技术研究团队,成立于2021年9月,主要研究红蓝对抗、重大安全保障、应急响应等方向。
创安攻防实验室圆满完成了多次公安举办的重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。
创安攻防实验室秉承创信华通的发展理念,致力打造国内一流网络安全团队。
原文始发于微信公众号(创信华通):创安实验室专栏丨2023“陇剑杯”网络安全大赛预选赛Writeup②
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论