应急响应

应急响应题目

主页：

下载链接的东西，是一个流量包。

基本都是udp协议，直接过滤http协议，发现有个压缩包。  

 显示和保存数据为原始数据，是504B开头的zip文件头的十六进制，放到winhex里面另存为zip文件，打开是公钥和私钥。    


很明显RSA，密文就是主页的一组神秘的代码了。  


在线解密RSA`   

 在主页已经给出对方ip了，实际上这里的思路是扫描对方的端口，发现22开着，尝试ssh链接，无果。  

 继续分析包，发现有个password，追踪tcp流  

把这一大推解码成图片。

很明显是个密码吧
尝试用这个密码登陆ROOT依然无果
后又在流量包发现用户登录信息。 C3A37087469 
密码为password.jpg的字符

登陆ssh成功 

ls看到有个key.sh，cat之，他说需要提高权限，并且密码需要16位，发现第一次得到的字符和password.jpg拼接，正好是root的密码。  

查看history  

发现web目录有个exe，下载下来。  

并且发现有个后门.exe

XAZLIER.exe，输入root登录密码，即可得到key  

转载于:https://www.cnblogs.com/zaqzzz/p/9715417.html