简介

天桥被黑了！你能分析攻击者的行为并重新入侵吗？

Task1

使用wireshark打开pcap包
首先查看流量找到了上传的shell

所以一二题答案

接着追踪TCP流找到了攻击者执行的命令

这儿可以发现攻击者使用的密码

这儿可以发现攻击者使用的什么方法权限维持

复制该五行到本地，使用john破解，成功破解4个

Task 2

访问木马的git主页

在main.go中发现默认的hash

同样的，在main.go的最下面发现了盐

通过查看源码发现-a为指定hash
攻击者使用的hash

研究了下解密模式，和1710比较像

尝试使用hashcat爆破

成功破解密码november16

Task 3

访问网站

根据先前的分析开始重新入侵
nmap扫了下端口。22和2222端口都开着ssh，但是之前的密码都登录不上去了，接着开始尝试2222,，出现了一个小问题

解决方案：

接着尝试登录，最终通过hash解密的密码成功登录

成功找到user flag

尝试了下sudo
发现密码不对
这时候找到一个隐藏文件

发现他的权限是root
通过查看相关资料

直接-p,成功提权，获取flag