ciscn暨长城杯 广东赛区 ISW阶段应急响应

题目介绍

小路是一名网络安全网管,据反映发现公司主机上有异常外联信息,据回忆前段时间执行过某些更新脚本(已删除),现在需要协助小路同学进行网络安全应急响应分析,查找木马,进一步分析,寻找攻击源头,获取攻击者主机权限获取 flag 文件。

1

找出主机上木马回连的主控端服务器 IP 地址(不定时 (3~5 分钟) 周期性),并以 flag{MD5} 形式提交,其中 MD5 加密目标的原始字符串格式 IP:port

r-studio进行磁盘恢复

在/home/ubuntu/目录下发现1.txt

存在viminfo文件

发现启动相关服务

然后直接定位到system-upgrade.ko内核文件

方法一

从服务器dump出流量包

tcpdump -i eth -w captured_traffic.pcap

方法二

逆向system-upgrade.ko内核文件

程序符号表混淆了

但是可以定位到主函数ULRYvXzICzy880dO

最终得到

__int64 ULRYvXzICzy880dO()

{

  _fentry__();

  Cr8YeLCPy17g2Kqp();

  vH5iRF4rBcsPSxfk();

  QODpPLbPPLRtk397();

  ZRzAVZZOp3EIPba6(&unk_2720);

  XnzbhEaPnydxn1rY("HIDEME", ZRzAVZZOp3EIPba6);

  XnzbhEaPnydxn1rY("SHOWME", bbiVzCN8llELLp6o);

  XnzbhEaPnydxn1rY("HIDE_DENT", Fmk3MFLuFCEiNxgN);

  XnzbhEaPnydxn1rY("SHOW_HIDDEN_DENT", PiCa2rGqFOVs1eiB);

  XnzbhEaPnydxn1rY("HIDE_TCP_PORT", IDZO4NzptW8GaHzj);

  XnzbhEaPnydxn1rY("SHOW_HIDDEN_TCP_PORT", ol186ifyeUPhXKNl);

  XnzbhEaPnydxn1rY("HIDE_TCP_IP", H7XMCPIhJup38DuP);

  XnzbhEaPnydxn1rY("SHOW_HIDDEN_TCP_IP", yiA2lg0kW8v2vOp0);

  XnzbhEaPnydxn1rY("HIDE_UDP_PORT", cuC5zWc4iL4kPgAn);

  XnzbhEaPnydxn1rY("SHOW_HIDDEN_UDP_PORT", LC22j9OZfANw81M7);

  XnzbhEaPnydxn1rY("HIDE_UDP_IP", YlfqRhWLKVqMFbxN);

  XnzbhEaPnydxn1rY("SHOW_HIDDEN_UDP_IP", XBKrkXaghfenXrk6);

  XnzbhEaPnydxn1rY("BINDSHELL_CREATE", NVEKPqx35kIvfacV);

  XnzbhEaPnydxn1rY("RUN_CUSTOM_BASH", T34Z94ahif0BXQRk);

  Fmk3MFLuFCEiNxgN("systemd-agentd");

  Fmk3MFLuFCEiNxgN("system-upgrade");

  Fmk3MFLuFCEiNxgN("system_upgrade");

  IDZO4NzptW8GaHzj("4948");

  IDZO4NzptW8GaHzj("1337");

  H7XMCPIhJup38DuP("192.168.57.203");

  H7XMCPIhJup38DuP("127.0.0.1");

  cuC5zWc4iL4kPgAn("8080");

  return YlfqRhWLKVqMFbxN("127.0.0.1");

}


192.168.57.203:4948


flag{59110F555B5E5CD0A8713A447B082D63}

2

找出主机上驻留的远控木马文件本体,计算该文件的 MD5, 结果提交形式

systemd-agentd 在 /lib/systemd/systemd-agentd

flag{bccad26b665ca175cd02aca2903d8b1e}

3

找出主机上加载远控木马的持久化程序(下载者),其功能为下载并执行远控木马,计算该文件的 MD5, 结果提交形式:flag{MD5}

回到1.txt,答案即.system_upgrade

flag{9729AAACE6C83B11B17B6BC3B340D00B}

4

找出主机上加载远控木马的持久化程序(下载者),其功能为下载并执行远控木马,计算该文件的 MD5, 结果提交形式:flag{MD5}

system-upgrade.ko

flag{78edba7cbd107eb6e3d2f90f5eca734e}

5

分析题目 2 中找到的远控木马,获取木马通信加密密钥, 结果提交形式:flag{通信加密密钥}

逆向systemd-agentd

调用/proc/self/exe

.rodata:00000000004BEFC0 a127001         db '127.0.0.1',0        ; DATA XREF: sub_405D33+41↑o

.rodata:00000000004BEFCA a2D             db '2 %d',0Ah,0         ; DATA XREF: sub_405D33+8C↑o

.rodata:00000000004BEFD0 ; const char path[]

.rodata:00000000004BEFD0 path            db '/proc/self/exe',0   ; DATA XREF: sub_405E44+2D↑o

.rodata:00000000004BEFD0                                         ; sub_4A2720+9↑o

.rodata:00000000004BEFDF aUnknown        db 'unknown ',0Ah,0     ; DATA XREF: sub_4060F5:loc_4062BC↑o

.rodata:00000000004BEFE9 aOk             db 'OK',0               ; DATA XREF: sub_406339+C1↑o

.rodata:00000000004BEFEC aLocalhost      db 'localhost',0        ; DATA XREF: sub_40641D+1D↑o

.rodata:00000000004BEFF6 aSPC            db 's:p:c:',0           ; DATA XREF: sub_40641D:loc_406465↑o

.rodata:00000000004BEFF6                                         ; sub_468A40+207↑o ...

.rodata:00000000004BEFFD unk_4BEFFD      db  3Dh ; =             ; DATA XREF: .data:off_6EB168↓o

.rodata:00000000004BEFFE                 db    1

.rodata:00000000004BEFFF                 db  20h

.rodata:00000000004BF000                 db  3Ah ; :

.rodata:00000000004BF001                 db  36h ; 6

.rodata:00000000004BF002                 db  58h ; X

.rodata:00000000004BF003                 db  3Ah ; :

.rodata:00000000004BF004                 db  36h ; 6

.rodata:00000000004BF005                 db  1Dh

.rodata:00000000004BF006                 db    1

.rodata:00000000004BF007                 db  5Ah ; Z

.rodata:00000000004BF008                 db  36h ; 6

.rodata:00000000004BF009                 db  3Ah ; :

.rodata:00000000004BF00A                 db  5Ah ; Z

.rodata:00000000004BF00B                 db  0Ah

.rodata:00000000004BF00C                 db  3Bh ; ;

.rodata:00000000004BF00D                 db  5Ah ; Z

.rodata:00000000004BF00E                 db  1Dh

.rodata:00000000004BF00F                 db  36h ; 6

.rodata:00000000004BF010                 db  0Fh

.rodata:00000000004BF011                 db    5

.rodata:00000000004BF012                 db  29h ; )

.rodata:00000000004BF013                 db  0Eh

.rodata:00000000004BF014                 db    0

.rodata:00000000004BF015                 db    0

.rodata:00000000004BF016                 db    0

.rodata:00000000004BF017                 db    0

x交叉索引,成功定位核心函数

进一步对unk_4BEFFD索引

最终定位到sub_405EC9

off_6EB168 指向的数据中读取 23 个字节,然后对每个字节进行异或操作(异或值为 0x69

exp:

# 原始数据

encrypted_data = [

    0x3D, 0x01, 0x20, 0x3A, 0x36, 0x58, 0x3A, 0x36, 0x1D, 0x01, 0x5A, 0x36, 0x3A, 0x5A, 0x0A, 0x3B,

    0x5A, 0x1D, 0x36, 0x0F, 0x05, 0x29, 0x0E

]

# 解密

decrypted_data = [byte ^ 0x69 for byte in encrypted_data]

# 转换为 ASCII 字符

decrypted_string = ''.join(chr(byte) for byte in decrypted_data)

print("Decrypted Data:", decrypted_string)


Decrypted Data: ThIS_1S_th3_S3cR3t_fl@g


flag{ThIS_1S_th3_S3cR3t_fl@g}

ciscn暨长城杯 广东赛区 ISW阶段应急响应的更多相关文章

  1. 第13届景驰-埃森哲杯广东工业大学ACM程序设计大赛.B.跳一跳,很简单的(Hash 倍增)

    题目链接 首先变换的周期是\(26\),而所有字符是同时变的,所以一共就只有\(26\)种树,我们对\(26\)棵树分别处理. 求某节点到根路径上的字符串,可以从根往下哈希,\(O(n)\)预处理出. ...

  2. 第13届景驰-埃森哲杯广东工业大学ACM程序设计大赛----随手记录帖

    这是跟学长学姐组队来打的最爽的一次比赛了,也可能是互相组队最后一次比赛了,南哥和楼学姐,省赛之后就退役了,祝他们能考研和面试都有happy ending! 虽然最后没有把F题的n^2约数的数学题写完, ...

  3. 2018年5月6日GDCPC (广东赛区)总结

    试机是队友浩哥一个人去的,因为觉得华工去了不少次了,环境也比较熟悉了.直到看到了现场环境,感觉有些拥挤,不如从前那样宽敞,增加了一些紧张的不适感. 比赛开始时,我们三人分头读题,虽说题目比较简短,但第 ...

  4. 第13届景驰-埃森哲杯广东工业大学ACM程序设计大赛-等式(求$N^2$的因子个数)

    一.题目链接 https://www.nowcoder.com/acm/contest/90/F 二.题面 时间限制:C/C++ 1秒,其他语言2秒 空间限制:C/C++ 32768K,其他语言655 ...

  5. 第13届景驰-埃森哲杯广东工业大学ACM程序设计大赛--J-强迫症的序列

    链接:https://www.nowcoder.com/acm/contest/90/J 来源:牛客网 1.题目描述 牛客网是IT求职神器,提供海量C++.JAVA.前端等职业笔试题库,在线进行百度阿 ...

  6. 【第13届景驰-埃森哲杯广东工业大学ACM程序设计大赛-F】等式(因子个数)

    题目描述 给定n,求1/x + 1/y = 1/n (x<=y)的解数.(x.y.n均为正整数) 输入描述: 在第一行输入一个正整数T.接下来有T行,每行输入一个正整数n,请求出符合该方程要求的 ...

  7. 【第13届景驰-埃森哲杯广东工业大学ACM程序设计大赛-J】 强迫症的序列

    小A是一个中度强迫症患者,每次做数组有关的题目都异常难受,他十分希望数组的每一个元素都一样大,这样子看起来才是最棒的,所以他决定通过一些操作把这个变成一个看起来不难受的数组,但他又想不要和之前的那个数 ...

  8. 【第13届景驰-埃森哲杯广东工业大学ACM程序设计大赛-L】用来作弊的药水

    链接:https://www.nowcoder.com/acm/contest/90/L来源:牛客网 输入x,a,y,b,(1<=x,a,y,b<=10^9)判断x^a是否等于y^b 前面 ...

  9. 第13届景驰-埃森哲杯广东工业大学ACM程序设计大赛--L-用来作弊的药水

    链接:https://www.nowcoder.com/acm/contest/90/L 来源:牛客网 1.题目描述 -- 在一个风雨交加的夜晚,来自异世界的不愿透露姓名的TMK同学获得了两种超强药水 ...

  10. 第13届景驰-埃森哲杯广东工业大学ACM程序设计大赛--I-填空题

    链接:https://www.nowcoder.com/acm/contest/90/I 来源:牛客网 1.题目描述 牛客网是是一个专注于程序员的学习和成长的专业平台,集笔面试系统.课程教育.社群交流 ...

随机推荐

  1. Joe主题 更换评论框样式,填写QQ自动获取昵称邮箱

    前言: 由于为了美观感去除了画图模式,至于怎么加上画图模式会在文章最后给出详细教程. 同时也去除了填写网址选项,这个暂时无添加教程,关键没有合适的添加位子. 话不多说,直接开始教程! 下载文件包,解压 ...

  2. Python异步编程进阶指南:破解高并发系统的七重封印

    title: Python异步编程进阶指南:破解高并发系统的七重封印 date: 2025/2/25 updated: 2025/2/25 author: cmdragon excerpt: 本文是异 ...

  3. docker - [13] docker网络

    smo smo smo "狂神" omz omz omz 一.理解网络 本机回环地址:127.0.0.1,本机IP地址:192.168.2.131,docker地址:172.17. ...

  4. Linux - [-bash: jps: command not found]

    jps是jdk提供的一个查看当前java进程的小工具, 全称是 JavaVirtual Machine Process Status Tool $ jps [options] [hostid] opt ...

  5. Zookeeper、Hadoop、Hbase的启动顺序以及关闭顺序

    启动顺序 Hadoop及hbase集群启动顺序 zookeepeer -> hadoop -> hbase 停止顺序 Hadoop及hbase集群关闭顺序 hbase -> hado ...

  6. minecraft mods descrip

    1. [Advanced Finders]矿物探测器 mod 显示玩家周围附近矿石的方向(指针显示水平面上可到达的矿石) 探测地下深部矿脉(箭头显示最近矿脉的方向(上/下)) 发现大型矿床时发出信号( ...

  7. 【由技及道】量子跃迁部署术:docker+jenkins+Harbor+SSH的十一维交付矩阵【人工智障AI2077的开发日志011】

    摘要: SSH密钥对构建的十一维安全通道 × Harbor镜像星门 × 错误吞噬者语法糖 = 在CI/CD的量子观测中实现熵减永动机,使容器在部署前保持开发与生产维度的叠加态 量子纠缠现状(技术背景) ...

  8. 介绍一个不知道怎么形容的小东西--Proxy

    what's this? The Proxy object is used to define custom behavior for fundamental operations (e.g. pro ...

  9. Dicom纯js的三维重建影像浏览器

    主要功能介绍 实现通过浏览器浏览Dicom影像阅片.主要功能: 支持标准DIcom影像的2D浏览,预设窗位,伪彩,序列间,序列内多种布局方式. 影像处理,提供影像翻图.缩放.移动.透镜.反相.旋转.截 ...

  10. Kratos 下载与安装

    前置条件 请确保已经安装好 go git protoc 然后获取 kratos 工具 go get -u github.com/go-kratos/kratos/tool/kratos 验证是否安装成 ...