日志流量

1.新手運(yùn)維小王的Geoserver遭到了攻擊：黑客疑似刪除了webshell后門(mén)，小王找到了可能是攻擊痕跡的文件但不一定是正確的，請(qǐng)幫他排查一下。

目標(biāo)是找到webshell

首先能看到目錄掃描

最后能看到上傳了一個(gè)b.jsp

jsp是加密的，但是能看到一個(gè)class

這個(gè)class沒(méi)有辦法正常反編譯，但是在最后能看到部分信息，從中可以看出應(yīng)該有一個(gè)b_jsp.java文件

看內(nèi)容比較像哥斯拉的

解碼拿到信息

結(jié)果為f!l^a*g{A7b4_X9zK_2v8N_wL5q4}

2.新手運(yùn)維小王的Geoserver遭到了攻擊：小王拿到了當(dāng)時(shí)被入侵時(shí)的流量，其中一個(gè)IP有訪問(wèn)webshell的流量，已提取部分放在了兩個(gè)pcapng中了。請(qǐng)幫他解密該流量。flag格式 flag{xxxx}

有密鑰解密就可以了，aes_raw的加密器

結(jié)果為flag{sA4hP_89dFh_x09tY_lL4SI4}

3.新手運(yùn)維小王的Geoserver遭到了攻擊：小王拿到了當(dāng)時(shí)被入侵時(shí)的流量，黑客疑似通過(guò)webshell上傳了文件，請(qǐng)看看里面是什么。使用流量解密工具進(jìn)行解密流量并刪除無(wú)用部分后另存為pdf。

上傳了一個(gè)pdf

刪除文件頭前面的內(nèi)容

結(jié)果為flag{dD7g_jk90_jnVm_aPkcs}

數(shù)據(jù)庫(kù)

1.請(qǐng)找到攻擊者創(chuàng)建隱藏賬戶(hù)的時(shí)間flag格式 如 flag{2024/01/01 00:00:00}

Security日志過(guò)濾事件ID4720

另外這種后門(mén)賬戶(hù)，一般情況下密碼修改時(shí)間就是賬戶(hù)創(chuàng)建時(shí)間

結(jié)果為flag{2024/12/16 15:24:21}

2.請(qǐng)找到惡意文件的名稱(chēng) flag格式 如 flag{.}

根目錄有個(gè)java目錄，過(guò)濾所有的exe，發(fā)現(xiàn)這個(gè)文件在java目錄下，并且創(chuàng)建時(shí)間與后門(mén)賬戶(hù)的添加時(shí)間相近

傳到微步檢測(cè)一下

結(jié)果為flag{xmrig.exe}

3.請(qǐng)找到惡意文件的外聯(lián)地址 flag格式 如 flag{1.1.1.1}

目錄下有一個(gè)配置文件，創(chuàng)建時(shí)間與這個(gè)程序一樣

結(jié)果為203.107.45.167

4.請(qǐng)修復(fù)數(shù)據(jù)庫(kù)flag格式 如 flag{xxxxx}

sqlserver數(shù)據(jù)庫(kù)，過(guò)濾一下mdf文件

搜索一下flag就可以了，勒索病毒一般不會(huì)全部加密，為了節(jié)省時(shí)間，對(duì)于大文件可能僅加密頭部和尾部

或者可以使用恢復(fù)大師，恢復(fù)時(shí)可能需要提供表結(jié)構(gòu)

結(jié)果為flag{E4r5t5y6Mhgur89g}

5.請(qǐng)?zhí)峤籶owershell命令中惡意文件的MD5 flag格式 如 flag{xxxxx}

查看日志

先看最開(kāi)始的3次

第3次這里釋放了數(shù)據(jù)

結(jié)果為d72000ee7388d7d58960db277a91cc40

內(nèi)存取證

1.請(qǐng)找到rdp連接的跳板地址 flag格式 flag{1.1.1.1}

我們知道rdp的端口是3389

結(jié)果為192.168.60.220

2.攻擊者下載黑客工具的IP地址 flag格式 flag{1.1.1.1}

結(jié)果為155.94.204.67

3.黑客獲取的“FusionManager節(jié)點(diǎn)操作系統(tǒng)帳戶(hù)（業(yè)務(wù)帳戶(hù)）”的密碼是什么 flag格式 flag{xxxx}

注意到pass.txt

導(dǎo)出文件

結(jié)果為GalaxManager_2012

4.攻擊者創(chuàng)建的用戶(hù) flag格式 flag{xxxx}

導(dǎo)出日志

結(jié)果為ASP.NET

5.攻擊者利用跳板rdp登錄的時(shí)間 flag格式 flag{2024/01/01 00:00:00}

結(jié)果為2024/12/21 0:15:34

6.攻擊者創(chuàng)建用戶(hù)的密碼哈希值 flag格式 flag{XXXX}

結(jié)果為5ffe97489cbec1e08d0c6339ec39416d

逆向破解

請(qǐng)逆向該加密器，解密機(jī)密文件flag格式 flag{XXXX}

逆不來(lái)，主要不想動(dòng)調(diào)，當(dāng)然調(diào)了我也不一定弄得出來(lái)