5ti(2022 年山东省)

本贴最后更新于 524 天前,其中的信息可能已经物是人非

B-5:事件分析应急响应

任务环境说明:

  • 服务器场景:Server2229(开放链接)
  • 用户名:root,密码:p@ssw0rd123

1.找出黑客植入到系统中的二进制木马程序,并将木马程序的名称作为 Flag 值(若存在多个提交时使用英文逗号隔开,例如 bin,sbin,...)提交;

先使用命令 crontab -l​ 查看二进制文件

image

在使用 find

find / -name **cpufan ******​ ** 2> /dev/null

image

在使用 netstat -anopt(我这里做不出来,可以说是这一步可做不做,只是其中的一个步骤,确定是后门文件,并且查出端口)

我们去试着访问/usr/bin/ps,发现权限不够

image

查看一下,发现是个很明显的后门文件

1.打开电脑自启 centos.core.lef

2.使用/centos_core.elf 进程后会和别的 ip 进行连接

3.也是个 ELF 执行文件

image

为什么觉得是黑客修改了 ps 命令呢?输入 ps 会执行这个后门文件

image

进入了这个之后,会发现有个 redflag,这个看起来像是放着 flag 的文件,可能是看我太菜了,直接放在提醒词!

image

发现个隐藏的.shell.elf

image

这 tm 什么玩意?一看就是病毒!ELF 是 exe 的头一般用户文件夹里面放 exe 干嘛...

image​​​​

已经确认了 centos_core.elf 和 shell.elf 病毒,但是是这个时候我们想起来了,之前还有个 cpufan 没有确认,我们去找一找看一看

vim /usr/share/sbin/cpufan

wc,一看就是后门!具体为什么是,这个关系到上面的思路了,在上面看的时候也发现是 ELF 头,exe 可执行文件

image

所以 flag 为:cpufan,centos_core_elf,shell.elf

2.找出被黑客修改的系统默认指令,并将被修改的指令里最后一个单词作为 Flag 值提交;

cat /usr/bin/ps

image

flag:bash

3.找出被黑客替换的系统指令,并将其绝对路径作为 Flag 值提交;

根据上面那题来看答案,但还是/usr/bin/ps 这个答案比较好一些

flag:/usr/bin/ps

或者.hide_command/ps

4.找出被黑客修改的服务配置文件,将文件的 md5 值前四位作为 Flag 值提交;

我们做应急响应的第一步一般都是 history,这个文一直没管

image

我们来看看,这个文件调用了 history 第五条那个文件,我们去看看这个文件

image

这个目录里面居然还放着 vulhub 这个靶场...

image

不管这个靶场了,我们看这个文件,执行了上面那个木马

image

所以被修改的服务配置文件是这个 cpuspeed

image

根据题目说是 md5 值的前 4 位

那答案就是

flag:fb91

5.找出系统中的弱口令账号,将该账号的用户名及密码作为 Flag 值(用户名和密码之间用英文冒号隔开,例如:root:toor)提交。

nmap -A -T4 10.203.48.146

扫描一下,看看什么情况

图片写的这些字只是另外一个思路,可用可不用

image

我们在进入系统的时候可以看见有两个用户,ip 我们知道,是 10.203.48.146,绕口令用户通常是指 admin 和 root

image

但是也可以用 10.203.48.146 的 root 看一下/etc/shadow,有这个 admin 账号

image

把这个放进文件里面,并且命名为 admin,

这个是利用上面那个打开 ssh 的方式进行 ssh 账号密码爆破

有时候需要把回车按着才能爆破

image

用 john 进行爆破,时间比较长

image

image

flag:admin,aaaab

​​

redflag 爆不出来,但也不是绕口令账号

image

​​

  • 第五题,其实也可以使用 ssh login 模块(下面这个 ssh-genkey)爆破-----------> 反正这题不用

上面说了,OpenSSH 8.2 (protocol 2.0)​需要用这一条命令来建立私钥之后才能 ssh 连接,如果连接不进去就用这种方法,可以连接就不用了,但是这题我想了一下,直接在 root 里面就可以换 redflag 这个账号,这只是个思路罢了

ssh-keygen

为 ssh 生成、管理和转换认证密钥

补充说明

ssh-keygen 命令 用于为“ssh”生成、管理和转换认证密钥,它支持 RSA 和 DSA 两种认证密钥。

语法

ssh-keygen(选项)

选项

-b:指定密钥长度; -e:读取openssh的私钥或者公钥文件; -C:添加注释; -f:指定用来保存密钥的文件名; -i:读取未加密的ssh-v2兼容的私钥/公钥文件,然后在标准输出设备上显示openssh兼容的私钥/公钥; -l:显示公钥文件的指纹数据; -N:提供一个新密语; -P:提供(旧)密语; -q:静默模式; -t:指定要创建的密钥类型。

使用 shh-keygen 命令(强烈建议使用此方法)
比如我们要将 的公钥信息清除,使用命令(请自己将 替换成自己的 IP 或域名):
ssh-keygen -R xxx

image

  • 运维

    互联网运维工作,以服务为中心,以稳定、安全、高效为三个基本点,确保公司的互联网业务能够 7×24 小时为用户提供高质量的服务。

    151 引用 • 257 回帖

相关帖子

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...

推荐标签 标签

  • Android

    Android 是一种以 Linux 为基础的开放源码操作系统,主要使用于便携设备。2005 年由 Google 收购注资,并拉拢多家制造商组成开放手机联盟开发改良,逐渐扩展到到平板电脑及其他领域上。

    337 引用 • 324 回帖
  • Maven

    Maven 是基于项目对象模型(POM)、通过一小段描述信息来管理项目的构建、报告和文档的软件项目管理工具。

    188 引用 • 319 回帖 • 234 关注
  • Firefox

    Mozilla Firefox 中文俗称“火狐”(正式缩写为 Fx 或 fx,非正式缩写为 FF),是一个开源的网页浏览器,使用 Gecko 排版引擎,支持多种操作系统,如 Windows、OSX 及 Linux 等。

    7 引用 • 30 回帖 • 368 关注
  • Google

    Google(Google Inc.,NASDAQ:GOOG)是一家美国上市公司(公有股份公司),于 1998 年 9 月 7 日以私有股份公司的形式创立,设计并管理一个互联网搜索引擎。Google 公司的总部称作“Googleplex”,它位于加利福尼亚山景城。Google 目前被公认为是全球规模最大的搜索引擎,它提供了简单易用的免费服务。不作恶(Don't be evil)是谷歌公司的一项非正式的公司口号。

    49 引用 • 192 回帖
  • 服务器

    服务器,也称伺服器,是提供计算服务的设备。由于服务器需要响应服务请求,并进行处理,因此一般来说服务器应具备承担服务并且保障服务的能力。

    125 引用 • 585 回帖
  • JRebel

    JRebel 是一款 Java 虚拟机插件,它使得 Java 程序员能在不进行重部署的情况下,即时看到代码的改变对一个应用程序带来的影响。

    26 引用 • 78 回帖 • 687 关注
  • 安装

    你若安好,便是晴天。

    132 引用 • 1184 回帖 • 1 关注
  • Wide

    Wide 是一款基于 Web 的 Go 语言 IDE。通过浏览器就可以进行 Go 开发,并有代码自动完成、查看表达式、编译反馈、Lint、实时结果输出等功能。

    欢迎访问我们运维的实例: https://wide.b3log.org

    30 引用 • 218 回帖 • 643 关注
  • Rust

    Rust 是一门赋予每个人构建可靠且高效软件能力的语言。Rust 由 Mozilla 开发,最早发布于 2014 年 9 月。

    59 引用 • 22 回帖 • 1 关注
  • GitBook

    GitBook 使您的团队可以轻松编写和维护高质量的文档。 分享知识,提高团队的工作效率,让用户满意。

    3 引用 • 8 回帖 • 3 关注
  • JSON

    JSON (JavaScript Object Notation)是一种轻量级的数据交换格式。易于人类阅读和编写。同时也易于机器解析和生成。

    53 引用 • 190 回帖
  • 创业

    你比 99% 的人都优秀么?

    81 引用 • 1395 回帖
  • 宕机

    宕机,多指一些网站、游戏、网络应用等服务器一种区别于正常运行的状态,也叫“Down 机”、“当机”或“死机”。宕机状态不仅仅是指服务器“挂掉了”、“死机了”状态,也包括服务器假死、停用、关闭等一些原因而导致出现的不能够正常运行的状态。

    13 引用 • 82 回帖 • 74 关注
  • 招聘

    哪里都缺人,哪里都不缺人。

    188 引用 • 1057 回帖 • 1 关注
  • 区块链

    区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。所谓共识机制是区块链系统中实现不同节点之间建立信任、获取权益的数学算法 。

    92 引用 • 752 回帖
  • 支付宝

    支付宝是全球领先的独立第三方支付平台,致力于为广大用户提供安全快速的电子支付/网上支付/安全支付/手机支付体验,及转账收款/水电煤缴费/信用卡还款/AA 收款等生活服务应用。

    29 引用 • 347 回帖
  • Ant-Design

    Ant Design 是服务于企业级产品的设计体系,基于确定和自然的设计价值观上的模块化解决方案,让设计者和开发者专注于更好的用户体验。

    17 引用 • 23 回帖 • 12 关注
  • 快应用

    快应用 是基于手机硬件平台的新型应用形态;标准是由主流手机厂商组成的快应用联盟联合制定;快应用标准的诞生将在研发接口、能力接入、开发者服务等层面建设标准平台;以平台化的生态模式对个人开发者和企业开发者全品类开放。

    15 引用 • 127 回帖 • 2 关注
  • 链滴

    链滴是一个记录生活的地方。

    记录生活,连接点滴

    188 引用 • 3915 回帖
  • 面试

    面试造航母,上班拧螺丝。多面试,少加班。

    326 引用 • 1395 回帖
  • 音乐

    你听到信仰的声音了么?

    62 引用 • 512 回帖
  • SQLServer

    SQL Server 是由 [微软] 开发和推广的关系数据库管理系统(DBMS),它最初是由 微软、Sybase 和 Ashton-Tate 三家公司共同开发的,并于 1988 年推出了第一个 OS/2 版本。

    21 引用 • 31 回帖
  • PWA

    PWA(Progressive Web App)是 Google 在 2015 年提出、2016 年 6 月开始推广的项目。它结合了一系列现代 Web 技术,在网页应用中实现和原生应用相近的用户体验。

    14 引用 • 69 回帖 • 186 关注
  • C++

    C++ 是在 C 语言的基础上开发的一种通用编程语言,应用广泛。C++ 支持多种编程范式,面向对象编程、泛型编程和过程化编程。

    108 引用 • 153 回帖
  • Spark

    Spark 是 UC Berkeley AMP lab 所开源的类 Hadoop MapReduce 的通用并行框架。Spark 拥有 Hadoop MapReduce 所具有的优点;但不同于 MapReduce 的是 Job 中间输出结果可以保存在内存中,从而不再需要读写 HDFS,因此 Spark 能更好地适用于数据挖掘与机器学习等需要迭代的 MapReduce 的算法。

    74 引用 • 46 回帖 • 564 关注
  • 前端

    前端技术一般分为前端设计和前端开发,前端设计可以理解为网站的视觉设计,前端开发则是网站的前台代码实现,包括 HTML、CSS 以及 JavaScript 等。

    247 引用 • 1340 回帖 • 1 关注
  • SOHO

    为成为自由职业者在家办公而努力吧!

    7 引用 • 55 回帖