type
status
slug
summary
tags
category
icon
password
题目背景
小路是一名网络安全网管,据反映发现公司主机上有异常外联信息,据回忆前段时间执行过某些更新脚本(已删除),现在需要协助小路同学进行网络安全应急响应分析,查找木马,进一步分析,寻找攻击源头,获取攻击者主机权限获取flag文件。
问题一
找出主机上木马回连的主控端服务器 IP 地址(不定时 (3~5 分钟) 周期性),并以
flag{MD5} 形式提交,其中 MD5 加密目标的原始字符串格式 IP:port首先查看靶机给的用户ubantu,raw文件中目录下的文件,发现可疑文件1.txt
内容为
可以怀疑是黑客下载病毒的命令
在同一目录中发现.viminfo缓存文件
Viminfo 文件是 Vim 编辑器中的一个重要文件,用于保存用户在退出 Vim 时的各种状态信息,以便在用户再次启动 Vim 时能够快速恢复这些状态
在其中可以注意到和下载的文件同名的服务
找到该定时服务配置,可以找到病毒文件
导出放入ida,发现程序的符号表进行了混淆
但可以找到主函数LRYvXzICzy880dO
发现其中函数传参了 IP 地址和端口,可得答案为
问题二
找出主机上驻留的远控木马文件本体,计算该文件的 MD5, 结果提交形式:
flag{md5}通过上题主函数可以找到其调用的远控木马文件本体位置
/lib/systemd/systemd-agent找到该文件并导出,计算其md5值,即为flag
问题三
找出主机上加载远控木马的持久化程序(下载者),其功能为下载并执行远控木马,计算该文件的 MD5, 结果提交形式:
flag{MD5}该持久化程序就是之前题目获取的
system-upgrade,计算md5即为flag问题四
查找题目 3 中持久化程序(下载者)的植入痕迹,计算持久化程序植入时的原始名称 MD5(仅计算文件名称字符串 MD5),并提交对应
flag{MD5}原始名称即为题一中1.txt的下载的文件名
system_upgrade问题五
分析题目 2 中找到的远控木马,获取木马通信加密密钥, 结果提交形式:
flag{通信加密密钥}将题二中
systemd-agent导入ida进行逆向分析发现
sub_40641D在进行网络通信其中,可以怀疑
unk_4BEFFD为木马通信加密密钥通过交叉搜索,发现其加密函数
仅仅是简单的异或,cyberchef解密一下即为通信密钥
问题六(无法复现)
分析题目 3 中持久化程序(下载者),找到攻击者分发远控木马使用的服务器,并获取该服务器权限,找到 flag,结果提交形式:
flag{xxxx}tips:压缩包密码最后一位为.
问题七(无法复现)
获取题目 2 中找到的远控木马的主控端服务器权限,查找 flag 文件,结果提交形式:
flag{xxxx}- 作者:LinkStar
- 链接:https://blog.miaoaixuan.cn/article/2025ccb-m
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
