2023 台州网安综合比武

一、背景

近日,我市一政府部门核心支撑单位遭遇网络黑客攻击, 黑客从该企业内部获取了大量与我政府相关的机离文件、数 据信息及各类服务器权限,并在黑客论坛、推特等地方售卖 相关数据,对我政府部门造成严重影响,为侦办该案件,市 局立刻成立多个专案组对网络黑客入侵事件开展取证、侦察 工作,目前案件已经侦破,并对黑客电脑、被害人电脑、服 务器等制作镜像,请对上述镜像文件开展取证,认真复盘攻 击路径和攻击手法

image-20240328133237533

1、黑客服务器的ip是多少?

image-20240328133809835

2.黑客搭建邮箱服务器,注册邮箱,向目标邮箱发送钓鱼连接,请问黑客使用邮箱账号多少?

黑客的个人电脑中的浏览器记录中查看
image-20240328134000175

3、黑客攻击的目标邮箱是多少?

黑客邮箱服务器中有钓鱼邮件
image-20240328134834053

4、 黑客钓鱼邮箱攻击, 伪造的网址是多少?

5. 黑客通过钓鱼邮件获取到的对方服务器的 admin 的有效密码是多少?

在黑客服务器中可以找到mysql的root密码

image-20240328141327667

其中有gophish钓鱼工具的数据库,里面的因该就是钓到的公司数据库账号密码

image-20240328142342090

6、黑客利用什么平台上线了被害人电脑的代码服务器的木马?

黑客的服务器运行过远程上线的命令,同时黑客电脑中也有CS软件
image-20240328143032420

image-20240328145058892

7、黑客是通过什么软件实现外网访问代码服务器的代码托管平台的?

A.frp 内网穿透 B.花生壳内网穿透 C.sunny内网穿透 D.nps内网穿透

服务器中有nps内网穿透

image-20240328144609492

8、企业开发员工vps服务器使用系统版本是_____?

image-20240328145211697

9、企业开发人员通过什么软件将内网的开发服务器映射到了公网?

也是nps

image-20240328145507245

10、企业开发人员使用穿透工具将内网开发服务器映射到功vps服务器的_____端口上,导致黑客入侵。

11、企业开发人员PC上网使用的物理网卡mac地址是

image-20240328171127517

12、企业开发人员通过浏览器最后一次访问代码服务器的时间是?

image-20240328215201104

13、在开发服务器上,启动Tomcat服务的sh脚本文件是_________。

image-20240328221142400

14、在开发服务器上,Tomcat的系统版本是多少

15、开发服务器部署网站后端程序使用的脚本文件是?

image-20240328222059570

16、该网站后端程序开启的端口是多少?

在app目录下的后端jar包中找

17、据说MariaDB和msyql存在千丝万缕的关系,开发服务器中的MariaDB的root账户的 密码为?

image-20240328231527075

18、在红脸软件后台“管理员设置”页面中最大的id是多少?

image-20240328233125120

19、在调查该漏洞过程中,你发现了一个名为______的日志文件,该文件包含了被黑客入侵 期间的关键信息。

日志中包含黑客PC中的一段操作命令:
image-20240328233502790

image-20240328234406680

20、在进行该漏洞的取证分析时,可能的证据之一是在日志文件中发现具有恶意注入的命令 是_________。

见上题图

21、黑客通过什么组件漏洞获取到了开发服务器的权限?

image-20240328235311774

22、请对日志文件进行综合分析,结合其中的漏洞特征,以确定黑客在攻击开发服务器时利 用的具体漏洞编号_________?

23、在进行漏洞的取证分析时,在网站中发现具有恶意注入的代码的方法名为______。

找日志中的输出信息
image-20240329082802717

24、黑客利用该漏洞时,通过内置的HTTP服务器发送恶意的代码文件,该恶意代码中,反 弹shell 使用的端口是多少?

image-20240329084910862

image-20240329084932029

25、开发服务器被上传远控马的时间是什么?

image-20240329085348750

26、黑客在开发服务器上是用什么工具进行内网扫描的?

root目录下有result.txt打开时fscan的扫描结果

image-20240329085946700

27、在开发服务器使用内网扫描工具后,有几个存活ip

看fscan扫描报告

image-20240329091753112

28、代码服务器的操作系统Build版本号是___?

image-20240329093227040

29、代码服务器使用的git版本是__?

image-20240329094136641

30、代码托管系统的软件版本号为____?

image-20240329094326873

31、代码托管系统用的数据库类型为?

配置文件app.ini

image-20240329095000441

32、开发代码托管系统的主要编程语言是?

image-20240329095105027

33、代码托管系统使用的启动脚本文件名为?

image-20240329095221353

34、黑客攻击时使用的代码托管系统账号名为?

数据库中,第一个是企业的管理员账户,第二个是黑客加的

image-20240329095832054

35、接上题,黑客使用账号的密码盐值为?

数据库中有

36、请分析代码托管系统,黑客使用仓库上传了恶意批处理文件,文件名为?

image-20240329100553098

image-20240329100747562

37、接上题目:黑客利用某个文件在代码托管系统上执行恶意批处理程序,该文件的MD5 值是多少?

image-20240329101411816

38、请分析代码托管系统,初次被攻击时间?

看日志

image-20240329101709939

image-20240329101649402

39、代码服务器被攻击后下载黑客服务器上木马文件使用的端口为?

image-20240329101851450

40、代码服务器被攻击后下载黑客服务器上的木马文件名为?

见上题图

41、请分析代码托管系统的漏洞特征,该漏洞的CVE编号为?

image-20240329102156517

42、若代码托管系统需要通过修改端口方式进行简单安全加固,应该修改配置文件中哪个字 段?

image-20240329102431751

43、后续黑客继续渗透其他服务器,请分析黑客上传的渗透工具的目录为?

image-20240329102537554

44、域控服务器的主机名是?

image-20240329103102794

45、域控服务器的域名是什么?

image-20240329202539727

46、域控服务器的Administrator 域用户密码是什么?

image-20240329224634040

47、域控服务器中被黑客植入的远控木马的文件名为?

有前面的渗透命令可以看到,在域控服务器中安装beacon.exe

image-20240329225636208

48、接上题,黑客对远控木马文件做了什么权限持久化的操作?

A.注册系统服务 B.注册DLL劫持 C.写入注册表 D.启动文件夹

49、域控服务器的域管理员数量为?

50、黑客在域控服务器中添加的域用户名是什么?

51、黑客对域控服务器发起漏洞攻击时,所使用的后缀为exe工具是什么?

image-20240330104632938

52、接上题,这个漏洞工具它实际上封装了哪个恶意程序?

55、企业管理员PC所属域控的域名?

61、OpenWrt 的内核版本号多少?

67、ESXI 控制台的许可序列号为?

image-20240402145821104

68、ESXI 控制台的数据存储的名称为?