简介：

请你登录服务器结合数据包附件来分析黑客的入侵行为
用户名：root
密码：xj@gsl4.0
SSH连接：ssh root@ip -p 222

1.

黑客的IP是什么？

题目给了流量包，直接分析，我个人习惯先统计IP，从次数最多的开始分析

过滤器语法ip.addr == 192.168.31.168 && http，前面是一堆返回码为404的目录爆破，我们直接拉到底下看200的，有个PUT协议上传了文件hello.jsp，内容为哥斯拉的webshell，简单看了眼加密器应该是aes_base64，后面再分析这个木马，这里可以知道黑客IP为192.168.31.190，flag{192.168.31.190}

‍

2.

黑客是通过什么漏洞进入服务器的？（提交CVE编号）

通过网站首页和http报文可知是tomcat的文件上传漏洞（别问，太熟悉了），flag{CVE-2017-12615}

‍

3.

黑客上传的木马文件名是什么？(提交文件名)

第一题分析过了，flag{hello.jsp}

‍

4.

黑客上传的木马连接密码是什么？

这个pass就是连接密码，在后面的流量里也能看到，flag{7f0e6f}

‍

5.

黑客上传的木马解密密钥是什么？

这就是密钥，flag{1710acba6220f62b}

‍

6.

黑客连接webshell后执行的第一条命令是什么？

解密和hello.jsp通信的流量即可（排除前几条哥斯拉初始化的流量），在此之前我们来分析下木马的加密逻辑

请求加密流程为 gzip -> aes -> base64 ，响应加密流程和请求是一样的，但是在前后加了16字节的pass字段md5值，解密的话反过来就好

可以用厨子也可以用解密工具解密，我放一张厨子的作为示例，其他的我用自己写的工具解密，可以看到第一条命令为uname -r，flag{uname -r}

‍

7.

黑客连接webshell时查询当前shell的权限是什么？

可以看到第二条命令id，返回值是uid=0(root) gid=0(root) groups=0(root)，flag{root}

‍

8.

黑客利用webshell执行命令查询服务器Linux系统发行版本是什么？

第三条命令就是查询版本cat /etc/os-release，返回值为Debian GNU/Linux 10 (buster)，flag{Debian GNU/Linux 10 (buster)}

‍

9.

黑客利用webshell执行命令还查询并过滤了什么？（提交整条执行成功的命令）

注意是执行成功的命令，应该是这条，flag{dpkg -l libpam-modules:amd64}

‍

10.

黑客留下后门的反连的IP和PORT是什么？（IP:PORT)

可以看到有反弹shell，base64解密一下得到反连的IP和PORT，flag{192.168.31.143:1313}

‍

11.

黑客通过什么文件留下了后门？

可以看到看到黑客通过哥斯拉读取了 / 和 /tmp/ 目录的文件，然后应该是上传了文件（返回解密ok），我写的工具没有做文件类型判断，所以没有解密出来，所以我们用厨子手工解密一下

可以看到上传了一个 /tmp/pam_unix.so 的elf可执行文件，我们上服务器也可验证，flag{pam_unix.so}

‍

12.

黑客设置的后门密码是什么？

我们上服务器去找这个后门文件，结果发现这文件不见了，诶））？逆天，我们用find查找下该文件find / -type f -name "pam_unix.so" 2>/dev/null，发现该文件被移动到 /usr/lib/x86_64-linux-gnu/security/pam_unix.so 了

我们下载这个后门文件，逆向分析（被迫营业），看到个 authenticate（认证） 函数猜测和密码有关系，找到了后门密码，还发现了dnslog服务器地址（每一送一真好 ^-^），flag{XJ@123}

‍

13.

黑客的恶意dnslog服务器地址是什么？

上题分析了，flag{c0ee2ad2d8.ipv6.xxx.eu.org.}