靶场地址:https://xj.edisec.net/challenges/52
靶场背景:小张的公司最近遭到了钓鱼邮件攻击,多名员工的终端被控制做为跳板攻击了内网系统。请根据小张备份的数据样本,对钓鱼邮件和内网被攻陷的系统进行溯源分析。
在钓鱼邮件的eml文件中搜索from
,最后一个from就是黑客发送钓鱼邮件时使用的IP地址:121.204.224.15。
flag{121.204.224.15}
通过Content-Transfer-Encoding: base64
得知邮件正文使用的是base64编码。
将邮件正文保存到txt文件中,使用命令cat 邮件正文.txt | base64 -d
解码,获得邮件正文内容,得知压缩包到解压密码是:2021@123456。
将邮件附件保存到txt文件中,使用命令cat 钓鱼附件.txt | base64 -d | less
解码并查看,从文件开头的PK
得知邮件附件是zip压缩包,因为PK是发明zip压缩格式的作者姓名缩写。
使用命令cat 钓鱼附件.txt | base64 -d > 钓鱼附件.zip
解码并保存到zip文件中,并用密码解压,最终获得程序:终端自查工具.exe。
将程序上传到上文件沙箱中分析,获得木马程序的控制端IP:107.16.111.57。
flag{107.16.111.57}
使用D盾分析/var/www/html/中的文件,发现webshell的文件名:/var/www/html/admin/ebak/ReData.php。
flag{/var/www/html/admin/ebak/ReData.php}
在/var/tmp/proc/my.conf中发现疑似隧道代理的配置。
使用命令./mysql -h
查看/var/tmp/proc/mysql程序的帮助信息,确认该程序是隧道程序。
flag{/var/tmp/proc/mysql}
本文分享自 OneMoreThink 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!