简介：

请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本
小张的公司最近遭到了钓鱼邮件攻击，多名员工的终端被控制做为跳板攻击了内网系统，请对钓鱼邮件样本和内网被攻陷的系统进行溯源分析，请根据小张备份的数据样本分析
请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本！！！！！

1.

请分析获取黑客发送钓鱼邮件时使用的IP，flag格式： flag{11.22.33.44}

邮件打开看一下，典型的钓鱼邮件，可以看到发件人的IP为121.204.224.15，flag{121.204.224.15}

‍

2.

请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP，flag格式：flag{11.22.33.44}

将木马程序解压，die查出是go编译的exe文件，拖到IDA分析一下，才怪呢，拖到云沙箱检测一下，可知外连的IP为107.16.111.57，flag{107.16.111.57}

‍

3.

黑客在被控服务器上创建了webshell，请分析获取webshell的文件名，请使用完整文件格式，flag格式：flag{/var/www/html/shell.php}

直接上D盾扫描网站目录，可以发现webshell，flag{/var/www/html/admin/ebak/ReData.php}

‍

4.

黑客在被控服务器上创建了内网代理隐蔽通信隧道，请分析获取该隧道程序的文件名，请使用完整文件路径，flag格式：flag{/opt/apache2/shell}

这种东西当然先排查/tmp目录，发现一个可疑的配置文件 /var/tmp/proc/my.conf ，一眼是代理的配置

把同级目录下的 mysql 程序拿到云沙箱检测，可知其为NPS代理家族代理工具，应该是NPS的客户端npc吧，改了名字，flag{/var/tmp/proc/mysql}