2024第一届“长城杯”信息安全铁人三项赛线下决赛-取证溯源WP解析

2024第一届“长城杯”信息安全铁人三项赛线下决赛-取证溯源WP解析

题目

您的同事李白在运维一台部署了移动应用服务端的linux服务器时发现了异常，好像被黑客攻击了。小李通过简单分析，发现可能是由于公司的移动应用和其服务端程序都存在安全问题导致的。小李将当天可能与攻击相关的流量导出，并与移动应用一起打包压缩，你可以下载分析，也可以登录此服务器进行攻击溯源、排查等，提供了SSH和VNC访问的方式供您和您的团队进行分析取证。

本文章为参考多个地方的资料，最后经过我进行深度加工呈现，由于我没有这个比赛的镜像所以导致无法自己截图并讲解，所以里面的大部分截图是使用的别人的wp截图，但是我尽量把讲解内容自己写一下，（如果有源镜像好了）

题解

关卡1

关卡描述：黑客攻击此服务器所使用的2个IP分别是什么（ascii码从小到大排列，空格分隔）

题目中说了 ascii码从小到大排列 ，因此可以确定两个ip是在同一个网段的

从http流量来看，都是从202.1.1.1发送的，因此另一个也在相同的网段上

ip.addr == 202.1.1.0/24

因为我最开始是找到了4个ip，接下来要对这4个ip进行挨个排查， 选择最适合Ip，然后再进行提交

四个ip分别是：202.1.1.1 202.1.1.60 202.1.1.129 202.1.1.130   201.1.1.60这个是应急响应机器的ip，我们看这个数据包里面，虽然有一些原地址是这个但是实际上不是，这个可能是一些原因导致的应急响应的机器对外发出的数据包，202.1.1.130 也能排除因为这个是dhcp的数据所以排除

在这里筛选出了4个部分，查看具体流量信息，发现202.1.1.1和202.1.1.129都是发送包，因此判断这两个是攻击IP，这两个是发送数据包（是攻击ip攻击应急机器的包）所以提交这两个

202.1.1.1 202.1.1.129

关卡2

关卡描述：存在安全问题的apk中使用的登录密码是什么?

使用模拟器打开apk文件，点击上传头像会出现未登录，请先登录后操作

使用jadx反编译，然后去搜这个提示，在文件中找到password

password663399

关卡3

关卡描述：黑客尝试上传一个文件但显示无上传权限的文件名是什么？

根据题目上给的这个关键词所以直接搜索关键词，搜索无上传权限

前面选择分组详情后面选择用正则表达式搜索然后能搜索到，追踪数据流

pic.jpg

看见上面有个pic.jpg

关卡4

关卡描述：黑客利用的漏洞接口的api地址是什么?（http://xxxx/xx)

和上题一样，接口都是/api/upload

http://202.1.1.66:8080/api/upload

关卡5

关卡描述：黑客上传的webshell路径是什么？

思路是去搜索upload，因为他这个上传的地方肯定是有这个upload这个词所以搜索这个行，然后找响应值为200的包，然后一个一个看

同时在比赛的时候，发现这个文件上传成功了，可以去提供的靶机里确认一下有没有这个文件

/usr/local/tomcat/webapps/ROOT/static/s74e7vwmzs21d5x6.jsp

关卡6

关卡描述：黑客上传的webshell的密码是什么？

既然找到刚才那个上次的东西是s74e7vwmzs21d5x6.jsp

那么搜索这个东西，然后找post包，因为webshell需要post传参来弄

通过后面的流量，发现他发送了很多bing_pass=xxx，然后响应值都是200，因此确定密码是bing_pass

bing_pass

关卡7

关卡描述：黑客通过webshell执行的第一条命令是什么？

接着看bing_pass后面的流量，发现了很多冰蝎4的流量，掏出阿B的PuzzleSolver进行解密

然后查看上传木马之后的流量，这里问的是执行的第一条命令，但是没有说执行成功的，所以不能通过响应码来判断

因此我们直接搜索他上传的webshell，看他post过的内容

tcp.stream eq 142

pwd

关卡8

关卡描述：黑客获取webshell时查询当前shell的权限是什么？

这个题纯属猜的，因为当时在靶机上cat /etc/passwd 发现了最后一个是tomcat，而且这个网站是java的，所以猜测是tomcat

tomcat

但是后面流量包里有执行whoami的历史记录，他的返回包不会解，求大佬教一下

tomcat

关卡9

关卡描述：利用webshell查询服务器Linux系统发行版本是什么？

这个直接在靶机上 uname -a

CentOS Linux release 7.4.1708 (Core)

关卡10

关卡描述：黑客从服务器上下载的秘密文件的路径是什么？

在之前筛选流量的时候，发现了很多大流量，而且传参里有secert

之前在靶机上查看webshell的时候发现在同目录下有这个文件

/usr/local/tomcat/webapps/ROOT/static/secert.file

关卡11

关卡描述：黑客通过反连执行的第一条命令是什么？

还是在搜索webshell，这里还是直接搜索关键词s74e7vwmzs21d5x6.jsp并且响应值为200的时候，发现了反弹shell的命令，之后进行解密行

然后接着看看下面的tcp流量，但这个下面的流量里面有很多的命令，这些命令其实可以挨个测试的。

最开始是交了 echo这个命令，但是不对，交了下一个

cat /etc/passwd

关卡12

关卡描述：黑客通过什么文件修改的root密码（路径）

还是看这个流量，搜索这个关键词下面的命令将新的密码写入了 /etc/passwd 中

/etc/passwd

关卡13

关卡描述：黑客设置的root密码是多少？

将得到的/etc/passwd中的密码使用hashcat爆破或者直接去cmd5那个网站里面进行爆破

123456

关卡14

关卡描述：黑客留下后门的反连的ip和port是什么？（ip:port)

在靶机的计划任务中可以找到命令是 cat /etc/cron来查看计划任务

202.1.1.129:9999

关卡15

关卡描述：黑客通过后门反连执行的第一条命令是什么？

直接过滤 ip.addr == 202.1.1.129 然后找9999端口

rpm -qa | grep pam

关卡16

关卡描述：黑客通过什么文件留下了后门？，导致最后一个问密码的没交上

根据攻击的时间，找到pam_unix.so文件

关卡17

关卡描述：黑客设置的后门密码是什么？

ssh_back_pwd

关卡18

关卡描述：黑客的后门将root密码记录在哪个文件中？（路径）

ida打开之后比赛的时候在tmp文件夹中，找到了这个文件，但是没来得及交，不是通过so文件找到的，而是看他名字是sshlog，然后打开发现了之前题目的123456，还有当前密码

/tmp/.sshlog

由于在玄机平台上的题只有流量包和一些需要逆向的东西，没有应急响应的靶机环境，故本文章撰写的时候只能参考相关的wp，可以做的题都是自己来写解析，环境问题导致无法写解析的题，只能通过复制相关wp，并把我的理解写进去来写，图片为我自己截的图，大部分是复制网上wp的图片，并配文讲解，致谢玄机应急响应平台提供的wp。