flow analysis 1
What is the backdoor file name that comes with the server?( Including file suffix)
服务器自带的后门文件是什么?(含文件后缀)
题目还要求最后把那个文件名MD5一下,再去提交
开始的前三题是流量分析的,我们就用wireshark打开看看
先从http入手,就会发现d00r.php文件,但是提交之后发现不是
然后在检索d00r.php时发现了一个名为ViewMore.php的文件
右键追踪TCP流发现是ViewMore.php写入的d00r.php,也就是说d00r.php
是后续生成的
ViewMore.php
flow analysis 2
What is the internal IP address of the server?
服务器的内部 IP 地址是什么
这里应该用刚刚door.php进行继续渗透的
如果要判断一下的话就是
http.request.uri contains "d00r.php"
对d00r.php 进行了命令执行并执行了ifconfig
在最后一个d00r.php中的数据流发现了两个ip地址
在它的返回包里面就会发现是下面这一个
192.168.101.132
flow analysis 3
What is the key written by the attacker to the server?
攻击者写入服务器的密钥是什么?
继续追踪刚刚的数据流,里面写入了一些东西
经过url解码之后,得到
UEsDBBQAAQAAANgDvlTRoSUSMAAAACQAAAAHAAAAa2V5LnR4dGYJZVtgRzdJtOnW1ycl/O/AJ0rmzwNXxqbCRUq2LQid0gO2yXaPBcc9baLIAwnQ71BLAQI/ABQAAQAAANgDvlTRoSUSMAAAACQAAAAHACQAAAAAAAAAIAAAAAAAAABrZXkudHh0CgAgAAAAAAABABgAOg7Zcnlz2AE6DtlyeXPYAfldXhh5c9gBUEsFBgAAAAABAAEAWQAAAFUAAAAAAA==
再经过base64解码就可以发现它是一个以PK开头的,是zip文件的文件头
看到了cat /passwd的命令,然后看他的返回包找到了密码
找到疑似密码:7e03864b0db7e6f9,解压出来就可以看到答案了
7d9ddff2-2d67-4eba-9e48-b91c26c42337
接下来就是取证的
Forensics 1
What is the key in the disk?
磁盘中的密钥是什么
用到内存取证工具vol
vol.py -f baby_forensics.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003df94070 -D ./
打开key.txt得到
E96<6J:Da6g_b_f_gd75a3d4ch4heg4bab66ad5d
rot47一下
2e80307085fd2b5c49c968c323ee25d5
Forensics 2
What is the result of running a calculator on the computer?
在计算机上运行计算器的结果是什么?
vol.py -f 2023exam.raw --profile=Win7SP1x64 windows > windows
就是有点难找,这里需要耐心的找一下
fa507c856dc4ce409ede2f3e2ab1993d
Forensics 3
What is the flag value present in this memory file?
此内存文件中存在的flag值是什么?
用010打开raw文件
U2FsdGVkX195MCsw0ANs6/Vkjibq89YlmnDdY/dCNKRkixvAP6+B5ImXr2VIqBSp
94qfIcjQhDxPgr9G4u++pA==
知道是aes加密,但是没有密钥
R-Studio翻,最后在C:/Users/admin/Music下找到个i4ak3y.dat里面存放着key
qwerasdf为key
对于内存取证还是不太熟悉,还是要加强一下的。