应急靶场(8)：【玄机】常见攻击事件分析钓鱼邮件

靶场地址：https://xj.edisec.net/challenges/52

靶场背景：小张的公司最近遭到了钓鱼邮件攻击，多名员工的终端被控制做为跳板攻击了内网系统。请根据小张备份的数据样本，对钓鱼邮件和内网被攻陷的系统进行溯源分析。

一、请分析获取黑客发送钓鱼邮件时使用的IP

在钓鱼邮件的eml文件中搜索from，最后一个from就是黑客发送钓鱼邮件时使用的IP地址：121.204.224.15。

flag{121.204.224.15}

二、请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP

通过Content-Transfer-Encoding: base64得知邮件正文使用的是base64编码。

将邮件正文保存到txt文件中，使用命令cat 邮件正文.txt | base64 -d解码，获得邮件正文内容，得知压缩包到解压密码是：2021@123456。

将邮件附件保存到txt文件中，使用命令cat 钓鱼附件.txt | base64 -d | less解码并查看，从文件开头的PK得知邮件附件是zip压缩包，因为PK是发明zip压缩格式的作者姓名缩写。

使用命令cat 钓鱼附件.txt | base64 -d > 钓鱼附件.zip解码并保存到zip文件中，并用密码解压，最终获得程序：终端自查工具.exe。

将程序上传到上文件沙箱中分析，获得木马程序的控制端IP：107.16.111.57。

flag{107.16.111.57}

三、黑客在被控服务器上创建了webshell，请分析获取webshell的文件名

使用D盾分析/var/www/html/中的文件，发现webshell的文件名：/var/www/html/admin/ebak/ReData.php。

flag{/var/www/html/admin/ebak/ReData.php}

四、黑客在被控服务器上创建了内网代理隐蔽通信隧道，请分析获取该隧道程序的文件名

在/var/tmp/proc/my.conf中发现疑似隧道代理的配置。

使用命令./mysql -h查看/var/tmp/proc/mysql程序的帮助信息，确认该程序是隧道程序。

flag{/var/tmp/proc/mysql}