Red Alert Pwn Challenges Write Up

題目1-日誌分析

在2019年的05的某一天資安設備突然出現有異常的日誌告警,發現我們的WebServer 疑似被人家攻擊可能也被駭客植入後門,我們備份了Apache 相關日誌,請協助我們找到問題 請嘗試尋找Flag (Red_Alert_XXXX)

很簡單的一題,直接從Access Log裡面去撈相關Payload就好了。

Flag: Red_Alert_72_2a5db88fd54297fae361a4d227c4691d

題目2-惡意程式檔案分析

在今年的五月中,我們收到一封來自國內包裹email ,不知道附檔是否有問題, 請協助我們分析看看裡面是否有問題, 如有找到問題請嘗試著幫我們分析是哪個漏洞所(CVE編號所造成的攻擊

#解壓縮密碼為:infected

Flag格式為: Red_Alert_CVE編號_該檔案的md5 exp: Red_Alert_CVE-2010-11231_2cd6ee2c70b0bde53fbe6cac3c8b8bb1

這題基本上很難從檔案去判斷,所以可以用防毒軟體來判斷特徵,比方說我電腦安裝的卡巴斯基:

然後到Google搜一下答案就出來了:

最後算個文件MD5值就可以了:

另解(應該也是最多人用的解):

丟到virustotal之類的網站去掃,有些防毒會直接跟你講是哪個CVE漏洞:

Flag: Red_Alert_CVE-2017-11882_43025a9793aededdd45db93ec313cab5

題目3-流量分析

在今年的五月份,資安設備收到異常的流量告警,我們找到了被攻擊的主機並且進行封包錄製,請嘗試著從封包中找到駭客藏匿的Flag

檔案下載:https://drive.google.com/drive/folders/1QSoKR75BmteyPBcsf_kLxnaBc4JTZypE?usp=sharing

Flag格式為: Red_Alert_DOS_{md5}

TBC

題目4-VM分析

在上半年,公司發現有一台電腦有異常的連線行為,我們將這台電腦初步進行了複製,並且打包成VM,請嘗試著幫我們分析這台受害電腦,並且設法找到駭客中繼站,並且將flag找出。

VM 需要連到VPN 匯入VM時網路請選擇NAT Flag 將放在外面的中繼站底下。 Flage格式為:Red_Alert_72_{Flag}

虛擬機載點:https://drive.google.com/file/d/1oWl3KmARElASynrIe1-ijOYgwKzaM9AM/view?usp=sharing

題目中提到了有異常連線行為,可以很明確的定位到殭屍網路相關的木馬病毒,本來想說用火絨劍來分析一波,或是逆向病毒程序來找出中繼站,不過後來想到可以直接觀察tcp連接來找到駭客的中繼站。

首先,電腦快速掃毒確認病毒在哪邊:

可以看到沒幾秒就找到了,再來就去看看這個病毒路徑:

空的,很明顯,檔案被隱藏了,把顯示隱藏檔案/資料夾的選項開下去就可以了:

然後直接運行程序,讓他跟駭客的主控端做連線,然後執行tasklist /svc查看運行的程序與pid:

根據pid去找port連線,執行netstat -ano

可以看到駭客的主控端是運行在172.16.67.250這個server上的8080 port,那題目要求在中繼站找到flag,那其實蠻明顯的應該是從web server下去找,直接看80 port有沒有東西:

Bingo,果然是要從這邊找flag,那其實根據CTF的套路,flag要嘛在/flag要嘛就在/flag.txt,果然找到了

Flag: Red_Alert_72_a743cca38f00eb008108bf76aed1e21b

題目5-VM分析(2)

承題目4請嘗試分析該受害VM 中藏的Flag Flage格式為:Red_Alert_72_{Flag}

像這種大海撈針的題目,相信有點經驗的都知道要用everything之類的工具下去找,果不其然直接就搜出flag位置了:

Flag: Red_Alert_72_228f9880186cb1b17578b91c64debd2b

題目6-VM分析(3)

承題目5 請嘗試分析該VM “user” 帳號的密碼 Flag 格式為:Red_Alert_72_password

破解windows用戶組密碼肯定是用mimikatz這個神器了,直接privilege::debug給他權限,然後sekurlsa::logonpasswords抓取密碼:

flag: Red_Alert_72_1qaz2wsx3edc