第七章 常见攻击事件分析--钓鱼邮件
1、请分析获取黑客发送钓鱼邮件时使用的IP,flag格式: flag
将文件下来到虚拟机·解压有个钓鱼邮件.eml 查阅的时候觉得这里很奇怪,这里跟其他的不大一样,这里对来源进行了base64的加密
下面还有被base64编码的内容拿去解码了一下,内容如下
2、请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP,flag格式:
flag
将钓鱼文件放到云沙箱看看
flag{107.16.111.57}
3、黑客在被控服务器上创建了webshell,请分析获取webshell的文件名,请使用完整文件格式,flag格式:flag
解压后的文件丢到D盾扫一下 var\www\html\admin\ebak\ReData.php下面发现了后面文件
我们定位到这个文件去看一下,在里面发现了一句话木马
flag{/var/www/html/admin/ebak/ReData.php}
4、flag4: 黑客在被控服务器上创建了内网代理隐蔽通信隧道,请分析获取该隧道程序的文件名,请使用完整文件路径,flag格式:flag
在这个文件下面,将my.conf修改改成了还可以通过socks5 proxy进行连接
flag{/var/tmp/proc/mysql}
为什么题目答案是“黑客在被控服务器上创建了内网代理隐蔽通信隧道”
- 配置文件里有明显的内网穿透/反向代理客户端字段:
[common]、server_addr=IP:PORT、conn_type=tcp、vkey=、auto_reconnection、max_conn、flow_limit、rate_limit、crypt=true、compress=true。 - 这种字段组合不是普通服务配置,而是常见的内网穿透/反向代理客户端(agent)配置,目的就是把被控主机的内网流量经由远端服务器转发(建立隐蔽代理隧道)。
- 在开源工具中,这一套配置格式与 NPS(nps/npc) 生态高度吻合(客户端通常叫
npc,服务端叫nps)。很多博客/issue/样例都能看到完全相同的键名(vkey、conn_type、flow_limit等)。因此可以判定攻击者使用了内网穿透工具在被控主机上开了代理隧道。
什么是 SOCKS5,什么是内网穿透(隧道)
- SOCKS5:一种通用代理协议(支持 TCP/UDP、可带认证),客户端把流量发给 SOCKS5 代理,代理代为访问目标主机。常见本地端口是
1080,程序如ssh -D、danted、microsocks、3proxy等可以提供 SOCKS5。 - 内网穿透 / 反向隧道:把内网主机的 TCP/端口通过一个长期的反向连接转发到公网服务器或直接建立隧道(比如 frp、nps、ngrok、gost 等)。用途是把被控主机的服务(或任意流量)暴露给攻击者或中继服务器。
两者如何结合(常见攻击模式)
- 攻击者在被控机上启动一个 SOCKS5 代理,监听本地某端口(例如 127.0.0.1:1080 或 0.0.0.0:1080),然后使用 内网穿透客户端(例如
npc、frpc、gost)将该端口映射到远端控制服务器。结果攻击者从公网通过远端映射的端口访问被控主机内网资源(像在本地使用 SOCKS5 一样)。 - 或者,攻击者在被控机上起了隧道客户端,仅把一个 TCP 隧道连到远端。攻击者在远端服务器上再运行 SOCKS5 服务,把隧道里的流量作为 SOCKS 后端。两种实现等价:隧道 + SOCKS5 可以在任一端提供代理接口。
- 配置文件里出现
# username and password of http and socks5 proxy这说明该程序或生态支持把 HTTP/SOCKS5 代理凭证写入配置(暗示可能会转发/生成 SOCKS5)。