期中考misc复现

第一题 flow analysis 1

服务器附带的后门文件名是什么？（包括文件后缀）

        Windows后门是指当攻击者通过某种手段已经拿到服务器的控制权之后，然后通过在服务器上放置一些后门（脚本、进程、连接之类），来方便以后持久性的入侵。

       攻击者在入侵了一个网站后，通常会将asp或php后门文件与网站服务器web目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。攻击者通过一些上传方式，将自己编写的webshell上传到web服务器的页面的目录下，然后通过页面访问的形式进行入侵，或者通过插入一句话连接本地的一些相关工具直接对服务器进行入侵操作。
 

http.request.method==POST

我们筛选出来post的http流

点开第一个文件，我们追踪http流

base64解码后发现上传了个一句话木马上去

post传了一个door.php上去，应该就是ViewMore.php

ViewMore.php写了door.php，door.php执行了命令

md5加密后得到flag

第二题 flow analysis 2

服务器的内部 IP 地址是什么？

服务器内部ip

       不能用于域名解析。
　　不可以直接用于服务器远程登录，其主要作用是：跟当前帐号下的其他同集群的机器通信。

依旧是筛选post流

http.request.method==POST

在其中一个流里面发现了ifconfig命令

ipconfig是Windows下可看到本机IP地址的各种信息的一个命令，Linux下为ifconfig

肯定是下面的ip地址，所以ip地址为192.168.101.132

第三题 flow analysis 3

攻击者写入服务器的密钥是什么？

我们在这个流里面发现了k3y_file

尝试base64解码后发现解码后是乱码

我们可以用python脚本直接将这段代码转换为zip文件

代码为

from base64 import *

base64_data = 'UEsDBBQAAQAAANgDvlTRoSUSMAAAACQAAAAHAAAAa2V5LnR4dGYJZVtgRzdJtOnW1ycl/O/AJ0rmzwNXxqbCRUq2LQid0gO2yXaPBcc9baLIAwnQ71BLAQI/ABQAAQAAANgDvlTRoSUSMAAAACQAAAAHACQAAAAAAAAAIAAAAAAAAABrZXkudHh0CgAgAAAAAAABABgAOg7Zcnlz2AE6DtlyeXPYAfldXhh5c9gBUEsFBgAAAAABAAEAWQAAAFUAAAAAAA=='
with open('k3y_file.zip', 'wb') as f:
	f.write(b64decode(base64_data))

脚本执行成功后，我们就可以在桌面上找到被转换成功的k3y_file.zip文件

但是打开文件需要密码

回去刚刚那个流里面找线索，发现了cat passwd等字眼，找到了类似密码的东西

输入后一看果然打开了txt文件

所以写入服务器的密钥为7d9ddff2-2d67-4eba-9e48-b91c26c42337

第四题 Forensics 1

磁盘中的密钥是什么？