5ti(2022 年山东省)

本贴最后更新于 256 天前,其中的信息可能已经物是人非

B-5:事件分析应急响应

任务环境说明:

  • 服务器场景:Server2229(开放链接)
  • 用户名:root,密码:p@ssw0rd123

1.找出黑客植入到系统中的二进制木马程序,并将木马程序的名称作为 Flag 值(若存在多个提交时使用英文逗号隔开,例如 bin,sbin,...)提交;

先使用命令 crontab -l​ 查看二进制文件

image

在使用 find

find / -name **cpufan ******​ ** 2> /dev/null

image

在使用 netstat -anopt(我这里做不出来,可以说是这一步可做不做,只是其中的一个步骤,确定是后门文件,并且查出端口)

我们去试着访问/usr/bin/ps,发现权限不够

image

查看一下,发现是个很明显的后门文件

1.打开电脑自启 centos.core.lef

2.使用/centos_core.elf 进程后会和别的 ip 进行连接

3.也是个 ELF 执行文件

image

为什么觉得是黑客修改了 ps 命令呢?输入 ps 会执行这个后门文件

image

进入了这个之后,会发现有个 redflag,这个看起来像是放着 flag 的文件,可能是看我太菜了,直接放在提醒词!

image

发现个隐藏的.shell.elf

image

这 tm 什么玩意?一看就是病毒!ELF 是 exe 的头一般用户文件夹里面放 exe 干嘛...

image​​​​

已经确认了 centos_core.elf 和 shell.elf 病毒,但是是这个时候我们想起来了,之前还有个 cpufan 没有确认,我们去找一找看一看

vim /usr/share/sbin/cpufan

wc,一看就是后门!具体为什么是,这个关系到上面的思路了,在上面看的时候也发现是 ELF 头,exe 可执行文件

image

所以 flag 为:cpufan,centos_core_elf,shell.elf

2.找出被黑客修改的系统默认指令,并将被修改的指令里最后一个单词作为 Flag 值提交;

cat /usr/bin/ps

image

flag:bash

3.找出被黑客替换的系统指令,并将其绝对路径作为 Flag 值提交;

根据上面那题来看答案,但还是/usr/bin/ps 这个答案比较好一些

flag:/usr/bin/ps

或者.hide_command/ps

4.找出被黑客修改的服务配置文件,将文件的 md5 值前四位作为 Flag 值提交;

我们做应急响应的第一步一般都是 history,这个文一直没管

image

我们来看看,这个文件调用了 history 第五条那个文件,我们去看看这个文件

image

这个目录里面居然还放着 vulhub 这个靶场...

image

不管这个靶场了,我们看这个文件,执行了上面那个木马

image

所以被修改的服务配置文件是这个 cpuspeed

image

根据题目说是 md5 值的前 4 位

那答案就是

flag:fb91

5.找出系统中的弱口令账号,将该账号的用户名及密码作为 Flag 值(用户名和密码之间用英文冒号隔开,例如:root:toor)提交。

nmap -A -T4 10.203.48.146

扫描一下,看看什么情况

图片写的这些字只是另外一个思路,可用可不用

image

我们在进入系统的时候可以看见有两个用户,ip 我们知道,是 10.203.48.146,绕口令用户通常是指 admin 和 root

image

但是也可以用 10.203.48.146 的 root 看一下/etc/shadow,有这个 admin 账号

image

把这个放进文件里面,并且命名为 admin,

这个是利用上面那个打开 ssh 的方式进行 ssh 账号密码爆破

有时候需要把回车按着才能爆破

image

用 john 进行爆破,时间比较长

image

image

flag:admin,aaaab

​​

redflag 爆不出来,但也不是绕口令账号

image

​​

  • 第五题,其实也可以使用 ssh login 模块(下面这个 ssh-genkey)爆破-----------> 反正这题不用

上面说了,OpenSSH 8.2 (protocol 2.0)​需要用这一条命令来建立私钥之后才能 ssh 连接,如果连接不进去就用这种方法,可以连接就不用了,但是这题我想了一下,直接在 root 里面就可以换 redflag 这个账号,这只是个思路罢了

ssh-keygen

为 ssh 生成、管理和转换认证密钥

补充说明

ssh-keygen 命令 用于为“ssh”生成、管理和转换认证密钥,它支持 RSA 和 DSA 两种认证密钥。

语法

ssh-keygen(选项)

选项

-b:指定密钥长度;
-e:读取openssh的私钥或者公钥文件;
-C:添加注释;
-f:指定用来保存密钥的文件名;
-i:读取未加密的ssh-v2兼容的私钥/公钥文件,然后在标准输出设备上显示openssh兼容的私钥/公钥;
-l:显示公钥文件的指纹数据;
-N:提供一个新密语;
-P:提供(旧)密语;
-q:静默模式;
-t:指定要创建的密钥类型。

使用 shh-keygen 命令(强烈建议使用此方法)
比如我们要将 的公钥信息清除,使用命令(请自己将 替换成自己的 IP 或域名):
ssh-keygen -R xxx

image

  • 运维

    互联网运维工作,以服务为中心,以稳定、安全、高效为三个基本点,确保公司的互联网业务能够 7×24 小时为用户提供高质量的服务。

    149 引用 • 257 回帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...

推荐标签 标签

  • Scala

    Scala 是一门多范式的编程语言,集成面向对象编程和函数式编程的各种特性。

    13 引用 • 11 回帖 • 129 关注
  • 游戏

    沉迷游戏伤身,强撸灰飞烟灭。

    176 引用 • 815 回帖
  • Sym

    Sym 是一款用 Java 实现的现代化社区(论坛/BBS/社交网络/博客)系统平台。

    下一代的社区系统,为未来而构建

    524 引用 • 4601 回帖 • 700 关注
  • 国际化

    i18n(其来源是英文单词 internationalization 的首末字符 i 和 n,18 为中间的字符数)是“国际化”的简称。对程序来说,国际化是指在不修改代码的情况下,能根据不同语言及地区显示相应的界面。

    8 引用 • 26 回帖
  • Ngui

    Ngui 是一个 GUI 的排版显示引擎和跨平台的 GUI 应用程序开发框架,基于
    Node.js / OpenGL。目标是在此基础上开发 GUI 应用程序可拥有开发 WEB 应用般简单与速度同时兼顾 Native 应用程序的性能与体验。

    7 引用 • 9 回帖 • 391 关注
  • ActiveMQ

    ActiveMQ 是 Apache 旗下的一款开源消息总线系统,它完整实现了 JMS 规范,是一个企业级的消息中间件。

    19 引用 • 13 回帖 • 670 关注
  • Hprose

    Hprose 是一款先进的轻量级、跨语言、跨平台、无侵入式、高性能动态远程对象调用引擎库。它不仅简单易用,而且功能强大。你无需专门学习,只需看上几眼,就能用它轻松构建分布式应用系统。

    9 引用 • 17 回帖 • 611 关注
  • 七牛云

    七牛云是国内领先的企业级公有云服务商,致力于打造以数据为核心的场景化 PaaS 服务。围绕富媒体场景,七牛先后推出了对象存储,融合 CDN 加速,数据通用处理,内容反垃圾服务,以及直播云服务等。

    27 引用 • 225 回帖 • 170 关注
  • jQuery

    jQuery 是一套跨浏览器的 JavaScript 库,强化 HTML 与 JavaScript 之间的操作。由 John Resig 在 2006 年 1 月的 BarCamp NYC 上释出第一个版本。全球约有 28% 的网站使用 jQuery,是非常受欢迎的 JavaScript 库。

    63 引用 • 134 回帖 • 724 关注
  • SEO

    发布对别人有帮助的原创内容是最好的 SEO 方式。

    35 引用 • 200 回帖 • 22 关注
  • AngularJS

    AngularJS 诞生于 2009 年,由 Misko Hevery 等人创建,后为 Google 所收购。是一款优秀的前端 JS 框架,已经被用于 Google 的多款产品当中。AngularJS 有着诸多特性,最为核心的是:MVC、模块化、自动化双向数据绑定、语义化标签、依赖注入等。2.0 版本后已经改名为 Angular。

    12 引用 • 50 回帖 • 474 关注
  • Vditor

    Vditor 是一款浏览器端的 Markdown 编辑器,支持所见即所得、即时渲染(类似 Typora)和分屏预览模式。它使用 TypeScript 实现,支持原生 JavaScript、Vue、React 和 Angular。

    351 引用 • 1813 回帖
  • WebClipper

    Web Clipper 是一款浏览器剪藏扩展,它可以帮助你把网页内容剪藏到本地。

    3 引用 • 9 回帖
  • 爬虫

    网络爬虫(Spider、Crawler),是一种按照一定的规则,自动地抓取万维网信息的程序。

    106 引用 • 275 回帖
  • 新人

    让我们欢迎这对新人。哦,不好意思说错了,让我们欢迎这位新人!
    新手上路,请谨慎驾驶!

    52 引用 • 228 回帖
  • BAE

    百度应用引擎(Baidu App Engine)提供了 PHP、Java、Python 的执行环境,以及云存储、消息服务、云数据库等全面的云服务。它可以让开发者实现自动地部署和管理应用,并且提供动态扩容和负载均衡的运行环境,让开发者不用考虑高成本的运维工作,只需专注于业务逻辑,大大降低了开发者学习和迁移的成本。

    19 引用 • 75 回帖 • 641 关注
  • PWA

    PWA(Progressive Web App)是 Google 在 2015 年提出、2016 年 6 月开始推广的项目。它结合了一系列现代 Web 技术,在网页应用中实现和原生应用相近的用户体验。

    14 引用 • 69 回帖 • 154 关注
  • Sublime

    Sublime Text 是一款可以用来写代码、写文章的文本编辑器。支持代码高亮、自动完成,还支持通过插件进行扩展。

    10 引用 • 5 回帖
  • OnlyOffice
    4 引用 • 2 关注
  • PostgreSQL

    PostgreSQL 是一款功能强大的企业级数据库系统,在 BSD 开源许可证下发布。

    22 引用 • 22 回帖
  • JetBrains

    JetBrains 是一家捷克的软件开发公司,该公司位于捷克的布拉格,并在俄国的圣彼得堡及美国麻州波士顿都设有办公室,该公司最为人所熟知的产品是 Java 编程语言开发撰写时所用的集成开发环境:IntelliJ IDEA

    18 引用 • 54 回帖
  • Google

    Google(Google Inc.,NASDAQ:GOOG)是一家美国上市公司(公有股份公司),于 1998 年 9 月 7 日以私有股份公司的形式创立,设计并管理一个互联网搜索引擎。Google 公司的总部称作“Googleplex”,它位于加利福尼亚山景城。Google 目前被公认为是全球规模最大的搜索引擎,它提供了简单易用的免费服务。不作恶(Don't be evil)是谷歌公司的一项非正式的公司口号。

    49 引用 • 192 回帖 • 1 关注
  • RabbitMQ

    RabbitMQ 是一个开源的 AMQP 实现,服务器端用 Erlang 语言编写,支持多种语言客户端,如:Python、Ruby、.NET、Java、C、PHP、ActionScript 等。用于在分布式系统中存储转发消息,在易用性、扩展性、高可用性等方面表现不俗。

    49 引用 • 60 回帖 • 362 关注
  • 快应用

    快应用 是基于手机硬件平台的新型应用形态;标准是由主流手机厂商组成的快应用联盟联合制定;快应用标准的诞生将在研发接口、能力接入、开发者服务等层面建设标准平台;以平台化的生态模式对个人开发者和企业开发者全品类开放。

    15 引用 • 127 回帖 • 1 关注
  • 持续集成

    持续集成(Continuous Integration)是一种软件开发实践,即团队开发成员经常集成他们的工作,通过每个成员每天至少集成一次,也就意味着每天可能会发生多次集成。每次集成都通过自动化的构建(包括编译,发布,自动化测试)来验证,从而尽早地发现集成错误。

    15 引用 • 7 回帖 • 1 关注
  • Latke

    Latke 是一款以 JSON 为主的 Java Web 框架。

    71 引用 • 535 回帖 • 786 关注
  • 人工智能

    人工智能(Artificial Intelligence)是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门技术科学。

    132 引用 • 189 回帖