5ti(2022 年山东省)

B-5：事件分析应急响应

任务环境说明：

• 服务器场景：Server2229（开放链接）
• 用户名：root，密码：p@ssw0rd123

1.找出黑客植入到系统中的二进制木马程序，并将木马程序的名称作为 Flag 值（若存在多个提交时使用英文逗号隔开，例如 bin,sbin,...）提交；

先使用命令 crontab -l​ 查看二进制文件

​​

在使用 find

find / -name **cpufan ******​ ** 2> /dev/null

​​

在使用 netstat -anopt(我这里做不出来，可以说是这一步可做不做，只是其中的一个步骤，确定是后门文件，并且查出端口)

我们去试着访问/usr/bin/ps，发现权限不够

​​

查看一下，发现是个很明显的后门文件

1.打开电脑自启 centos.core.lef

2.使用/centos_core.elf 进程后会和别的 ip 进行连接

3.也是个 ELF 执行文件

​​

为什么觉得是黑客修改了 ps 命令呢？输入 ps 会执行这个后门文件

​​

进入了这个之后，会发现有个 redflag，这个看起来像是放着 flag 的文件，可能是看我太菜了，直接放在提醒词！

​​

发现个隐藏的.shell.elf

​​

这 tm 什么玩意？一看就是病毒！ELF 是 exe 的头一般用户文件夹里面放 exe 干嘛...

​​​​​

已经确认了 centos_core.elf 和 shell.elf 病毒，但是是这个时候我们想起来了，之前还有个 cpufan 没有确认，我们去找一找看一看

​vim /usr/share/sbin/cpufan​

wc，一看就是后门！具体为什么是，这个关系到上面的思路了，在上面看的时候也发现是 ELF 头，exe 可执行文件

​​

所以 flag 为:cpufan,centos_core_elf,shell.elf

‍

2.找出被黑客修改的系统默认指令，并将被修改的指令里最后一个单词作为 Flag 值提交；

​cat /usr/bin/ps​

​​

flag:bash

‍

3.找出被黑客替换的系统指令，并将其绝对路径作为 Flag 值提交；

根据上面那题来看答案，但还是/usr/bin/ps 这个答案比较好一些

flag:/usr/bin/ps

或者.hide_command/ps

‍

4.找出被黑客修改的服务配置文件，将文件的 md5 值前四位作为 Flag 值提交；

我们做应急响应的第一步一般都是 history，这个文一直没管

​​

我们来看看，这个文件调用了 history 第五条那个文件，我们去看看这个文件

​​

这个目录里面居然还放着 vulhub 这个靶场...

​​

不管这个靶场了，我们看这个文件，执行了上面那个木马

​​

所以被修改的服务配置文件是这个 cpuspeed

​​

根据题目说是 md5 值的前 4 位

那答案就是

flag:fb91

‍

5.找出系统中的弱口令账号，将该账号的用户名及密码作为 Flag 值(用户名和密码之间用英文冒号隔开，例如：root:toor)提交。

​nmap -A -T4 10.203.48.146​

扫描一下，看看什么情况

图片写的这些字只是另外一个思路，可用可不用

​​

我们在进入系统的时候可以看见有两个用户，ip 我们知道，是 10.203.48.146，绕口令用户通常是指 admin 和 root

​​

但是也可以用 10.203.48.146 的 root 看一下/etc/shadow，有这个 admin 账号

​​

把这个放进文件里面，并且命名为 admin，

这个是利用上面那个打开 ssh 的方式进行 ssh 账号密码爆破

有时候需要把回车按着才能爆破

​​

用 john 进行爆破，时间比较长

​​

​​

flag:admin,aaaab

​​

redflag 爆不出来，但也不是绕口令账号

​​

​​

‍

• 第五题，其实也可以使用 ssh login 模块(下面这个 ssh-genkey)爆破-----------> 反正这题不用

上面说了，OpenSSH 8.2 (protocol 2.0)​需要用这一条命令来建立私钥之后才能 ssh 连接，如果连接不进去就用这种方法，可以连接就不用了，但是这题我想了一下，直接在 root 里面就可以换 redflag 这个账号，这只是个思路罢了

ssh-keygen

为 ssh 生成、管理和转换认证密钥

补充说明

ssh-keygen 命令 用于为“ssh”生成、管理和转换认证密钥，它支持 RSA 和 DSA 两种认证密钥。

语法

ssh-keygen(选项)

选项

-b：指定密钥长度；
-e：读取openssh的私钥或者公钥文件；
-C：添加注释；
-f：指定用来保存密钥的文件名；
-i：读取未加密的ssh-v2兼容的私钥/公钥文件，然后在标准输出设备上显示openssh兼容的私钥/公钥；
-l：显示公钥文件的指纹数据；
-N：提供一个新密语；
-P：提供（旧）密语；
-q：静默模式；
-t：指定要创建的密钥类型。

使用 shh-keygen 命令（强烈建议使用此方法）
比如我们要将 的公钥信息清除，使用命令（请自己将 替换成自己的 IP 或域名）：
​ssh​-keygen -R xxx​

​​