5ti(2022 年山东省)

本贴最后更新于 377 天前,其中的信息可能已经物是人非

B-5:事件分析应急响应

任务环境说明:

  • 服务器场景:Server2229(开放链接)
  • 用户名:root,密码:p@ssw0rd123

1.找出黑客植入到系统中的二进制木马程序,并将木马程序的名称作为 Flag 值(若存在多个提交时使用英文逗号隔开,例如 bin,sbin,...)提交;

先使用命令 crontab -l​ 查看二进制文件

image

在使用 find

find / -name **cpufan ******​ ** 2> /dev/null

image

在使用 netstat -anopt(我这里做不出来,可以说是这一步可做不做,只是其中的一个步骤,确定是后门文件,并且查出端口)

我们去试着访问/usr/bin/ps,发现权限不够

image

查看一下,发现是个很明显的后门文件

1.打开电脑自启 centos.core.lef

2.使用/centos_core.elf 进程后会和别的 ip 进行连接

3.也是个 ELF 执行文件

image

为什么觉得是黑客修改了 ps 命令呢?输入 ps 会执行这个后门文件

image

进入了这个之后,会发现有个 redflag,这个看起来像是放着 flag 的文件,可能是看我太菜了,直接放在提醒词!

image

发现个隐藏的.shell.elf

image

这 tm 什么玩意?一看就是病毒!ELF 是 exe 的头一般用户文件夹里面放 exe 干嘛...

image​​​​

已经确认了 centos_core.elf 和 shell.elf 病毒,但是是这个时候我们想起来了,之前还有个 cpufan 没有确认,我们去找一找看一看

vim /usr/share/sbin/cpufan

wc,一看就是后门!具体为什么是,这个关系到上面的思路了,在上面看的时候也发现是 ELF 头,exe 可执行文件

image

所以 flag 为:cpufan,centos_core_elf,shell.elf

2.找出被黑客修改的系统默认指令,并将被修改的指令里最后一个单词作为 Flag 值提交;

cat /usr/bin/ps

image

flag:bash

3.找出被黑客替换的系统指令,并将其绝对路径作为 Flag 值提交;

根据上面那题来看答案,但还是/usr/bin/ps 这个答案比较好一些

flag:/usr/bin/ps

或者.hide_command/ps

4.找出被黑客修改的服务配置文件,将文件的 md5 值前四位作为 Flag 值提交;

我们做应急响应的第一步一般都是 history,这个文一直没管

image

我们来看看,这个文件调用了 history 第五条那个文件,我们去看看这个文件

image

这个目录里面居然还放着 vulhub 这个靶场...

image

不管这个靶场了,我们看这个文件,执行了上面那个木马

image

所以被修改的服务配置文件是这个 cpuspeed

image

根据题目说是 md5 值的前 4 位

那答案就是

flag:fb91

5.找出系统中的弱口令账号,将该账号的用户名及密码作为 Flag 值(用户名和密码之间用英文冒号隔开,例如:root:toor)提交。

nmap -A -T4 10.203.48.146

扫描一下,看看什么情况

图片写的这些字只是另外一个思路,可用可不用

image

我们在进入系统的时候可以看见有两个用户,ip 我们知道,是 10.203.48.146,绕口令用户通常是指 admin 和 root

image

但是也可以用 10.203.48.146 的 root 看一下/etc/shadow,有这个 admin 账号

image

把这个放进文件里面,并且命名为 admin,

这个是利用上面那个打开 ssh 的方式进行 ssh 账号密码爆破

有时候需要把回车按着才能爆破

image

用 john 进行爆破,时间比较长

image

image

flag:admin,aaaab

​​

redflag 爆不出来,但也不是绕口令账号

image

​​

  • 第五题,其实也可以使用 ssh login 模块(下面这个 ssh-genkey)爆破-----------> 反正这题不用

上面说了,OpenSSH 8.2 (protocol 2.0)​需要用这一条命令来建立私钥之后才能 ssh 连接,如果连接不进去就用这种方法,可以连接就不用了,但是这题我想了一下,直接在 root 里面就可以换 redflag 这个账号,这只是个思路罢了

ssh-keygen

为 ssh 生成、管理和转换认证密钥

补充说明

ssh-keygen 命令 用于为“ssh”生成、管理和转换认证密钥,它支持 RSA 和 DSA 两种认证密钥。

语法

ssh-keygen(选项)

选项

-b:指定密钥长度; -e:读取openssh的私钥或者公钥文件; -C:添加注释; -f:指定用来保存密钥的文件名; -i:读取未加密的ssh-v2兼容的私钥/公钥文件,然后在标准输出设备上显示openssh兼容的私钥/公钥; -l:显示公钥文件的指纹数据; -N:提供一个新密语; -P:提供(旧)密语; -q:静默模式; -t:指定要创建的密钥类型。

使用 shh-keygen 命令(强烈建议使用此方法)
比如我们要将 的公钥信息清除,使用命令(请自己将 替换成自己的 IP 或域名):
ssh-keygen -R xxx

image

  • 运维

    互联网运维工作,以服务为中心,以稳定、安全、高效为三个基本点,确保公司的互联网业务能够 7×24 小时为用户提供高质量的服务。

    151 引用 • 257 回帖 • 1 关注

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...

推荐标签 标签

  • jsDelivr

    jsDelivr 是一个开源的 CDN 服务,可为 npm 包、GitHub 仓库提供免费、快速并且可靠的全球 CDN 加速服务。

    5 引用 • 31 回帖 • 93 关注
  • ZooKeeper

    ZooKeeper 是一个分布式的,开放源码的分布式应用程序协调服务,是 Google 的 Chubby 一个开源的实现,是 Hadoop 和 HBase 的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。

    59 引用 • 29 回帖 • 1 关注
  • GAE

    Google App Engine(GAE)是 Google 管理的数据中心中用于 WEB 应用程序的开发和托管的平台。2008 年 4 月 发布第一个测试版本。目前支持 Python、Java 和 Go 开发部署。全球已有数十万的开发者在其上开发了众多的应用。

    14 引用 • 42 回帖 • 803 关注
  • 钉钉

    钉钉,专为中国企业打造的免费沟通协同多端平台, 阿里巴巴出品。

    15 引用 • 67 回帖 • 296 关注
  • 笔记

    好记性不如烂笔头。

    311 引用 • 796 回帖
  • 深度学习

    深度学习(Deep Learning)是机器学习的分支,是一种试图使用包含复杂结构或由多重非线性变换构成的多个处理层对数据进行高层抽象的算法。

    53 引用 • 40 回帖 • 1 关注
  • 代码片段

    代码片段分为 CSS 与 JS 两种代码,添加在 [设置 - 外观 - 代码片段] 中,这些代码会在思源笔记加载时自动执行,用于改善笔记的样式或功能。

    用户在该标签下分享代码片段时需在帖子标题前添加 [css] [js] 用于区分代码片段类型。

    131 引用 • 869 回帖
  • MyBatis

    MyBatis 本是 Apache 软件基金会 的一个开源项目 iBatis,2010 年这个项目由 Apache 软件基金会迁移到了 google code,并且改名为 MyBatis ,2013 年 11 月再次迁移到了 GitHub。

    173 引用 • 414 回帖 • 373 关注
  • Flutter

    Flutter 是谷歌的移动 UI 框架,可以快速在 iOS 和 Android 上构建高质量的原生用户界面。 Flutter 可以与现有的代码一起工作,它正在被越来越多的开发者和组织使用,并且 Flutter 是完全免费、开源的。

    39 引用 • 92 回帖
  • 创造

    你创造的作品可能会帮助到很多人,如果是开源项目的话就更赞了!

    182 引用 • 1010 回帖
  • PHP

    PHP(Hypertext Preprocessor)是一种开源脚本语言。语法吸收了 C 语言、 Java 和 Perl 的特点,主要适用于 Web 开发领域,据说是世界上最好的编程语言。

    179 引用 • 408 回帖 • 487 关注
  • HTML

    HTML5 是 HTML 下一个的主要修订版本,现在仍处于发展阶段。广义论及 HTML5 时,实际指的是包括 HTML、CSS 和 JavaScript 在内的一套技术组合。

    108 引用 • 295 回帖 • 2 关注
  • Anytype
    3 引用 • 31 回帖 • 13 关注
  • Swagger

    Swagger 是一款非常流行的 API 开发工具,它遵循 OpenAPI Specification(这是一种通用的、和编程语言无关的 API 描述规范)。Swagger 贯穿整个 API 生命周期,如 API 的设计、编写文档、测试和部署。

    26 引用 • 35 回帖 • 3 关注
  • 自由行
    1 关注
  • 倾城之链
    23 引用 • 66 回帖 • 159 关注
  • 智能合约

    智能合约(Smart contract)是一种旨在以信息化方式传播、验证或执行合同的计算机协议。智能合约允许在没有第三方的情况下进行可信交易,这些交易可追踪且不可逆转。智能合约概念于 1994 年由 Nick Szabo 首次提出。

    1 引用 • 11 回帖 • 1 关注
  • HHKB

    HHKB 是富士通的 Happy Hacking 系列电容键盘。电容键盘即无接点静电电容式键盘(Capacitive Keyboard)。

    5 引用 • 74 回帖 • 495 关注
  • 数据库

    据说 99% 的性能瓶颈都在数据库。

    345 引用 • 739 回帖
  • 以太坊

    以太坊(Ethereum)并不是一个机构,而是一款能够在区块链上实现智能合约、开源的底层系统。以太坊是一个平台和一种编程语言 Solidity,使开发人员能够建立和发布下一代去中心化应用。 以太坊可以用来编程、分散、担保和交易任何事物:投票、域名、金融交易所、众筹、公司管理、合同和知识产权等等。

    34 引用 • 367 回帖
  • DNSPod

    DNSPod 建立于 2006 年 3 月份,是一款免费智能 DNS 产品。 DNSPod 可以为同时有电信、网通、教育网服务器的网站提供智能的解析,让电信用户访问电信的服务器,网通的用户访问网通的服务器,教育网的用户访问教育网的服务器,达到互联互通的效果。

    6 引用 • 26 回帖 • 525 关注
  • OneDrive
    2 引用 • 4 关注
  • sts
    2 引用 • 2 回帖 • 224 关注
  • WebClipper

    Web Clipper 是一款浏览器剪藏扩展,它可以帮助你把网页内容剪藏到本地。

    3 引用 • 9 回帖 • 6 关注
  • SVN

    SVN 是 Subversion 的简称,是一个开放源代码的版本控制系统,相较于 RCS、CVS,它采用了分支管理系统,它的设计目标就是取代 CVS。

    29 引用 • 98 回帖 • 688 关注
  • FFmpeg

    FFmpeg 是一套可以用来记录、转换数字音频、视频,并能将其转化为流的开源计算机程序。

    23 引用 • 32 回帖
  • CentOS

    CentOS(Community Enterprise Operating System)是 Linux 发行版之一,它是来自于 Red Hat Enterprise Linux 依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码,因此有些要求高度稳定的服务器以 CentOS 替代商业版的 Red Hat Enterprise Linux 使用。两者的不同在于 CentOS 并不包含封闭源代码软件。

    239 引用 • 224 回帖