第二届“陇剑杯”网络安全大赛预选赛WP-数据分析-server save

发布于 2023-08-28  1366 次阅读


赛事简介:

“陇剑杯”已被公安部网安局确定为与“网鼎杯”“天府杯”之后的全国第三大网络安全赛事,是全国同类赛事中首次引入“人工智能人机对抗”,首个“以防为主”的网络安全大赛。“陇剑杯”与“网鼎杯”一样隔年举办,“陇剑杯”在“网鼎杯”的次年举办,参加“陇剑杯”获得前9名的队伍直接进入“网鼎杯”半决赛。2021年已成功举办一届,共吸引了全国31个省、市、自治区和各个行业的3020支战队,11135人报名参赛,同时还邀请4名院士专家及来自国家部委、省委省政府、省直厅局及中央驻甘机构、知名互联网企业的400余名嘉宾出席网络高峰论坛。

第二届“陇剑杯”网络安全大赛将以“共筑网络安全 守护数字经济”为主题,以实景防御、大数据分析、人工智能安全等综合防御能力提升为目标,打造高规格、高标准、高水平的全国性网络安全赛事活动,为助推地区网络安全、数字产业、经济社会高质量发展注入强大动力。

server save

问题:








开始分析

附件压缩包解压开一共是两个东西
一个pacp包

还有一个文件夹,简单看了下是linux的镜像

问题1

首先根据问题1来看下流量包
打开流量包后,先过滤器中输入http筛选http的流量

上面的这些都可以跳过,因为返回都是404
在25280行看到第一个返回包是200的请求,并且在25434行发现了shell

那么问题就出现在这几个数据包里面了,右键追踪http流或者TCP流看看,这里我建议TCP流,方便连续看请求

这个请求验证了漏洞是否存在

点击右下角直接看下面一个流

这里发现他构造了一串请求,复制百度了一下

可以发现是spring框架RCE CVE-2022-22965的利用方式

那么第一题的答案就是CVE-2022-22965

问题2

问题2问的是黑客反弹的IP和端口
那么往下继续追踪流看看
首先黑客执行了命令id

接着下载了个bbbb.sh文件

接着他执行了这个sh文件

那么这里可以得到第二题的答案
黑客反弹的IP和端口是:192.168.43.128:2333

问题3

问题3问的是黑客的病毒名称,因为附件给了linux的镜像,我们直接去文件里面找找
这里在/home/guests目录下发现了一些可疑文件

结合第6个问题释放了哪两个文件,可以判断,病毒文件是main,释放了idea文件夹中的lolMinermine_doge.sh

问题4

问的是病毒运行后创建了什么用户,这里直接去看看/etc/shadow文件

可以发现多了个ll用户,密码123456
答案:ll:123456

问题5

外网入侵的IP
这里从/home/guests下的.log.txt文件中得知

答案:172.105.202.239

问题6

问题3中已经有说明
答案:lolMiner,mine_doge.sh

问题7

问矿池的地址
这个在/home/guests/.idea下的mine_doge.sh文件中可以得知

答案:doge.millpools.cc:5567

问题8

黑客的钱包地址
和问题7在同一个文件中
答案:DOGE:DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9

届ける言葉を今は育ててる
最后更新于 2023-09-20