第二届“长城杯”半决赛ISW赛后复现教学文档<\/h1>

题目背景<\/h2>
小路是一名网络安全网管，发现公司主机上有异常外联信息。回忆前段时间执行过某些更新脚本（已删除），现在需要进行网络安全应急响应分析，查找木马，进一步分析，寻找攻击源头，获取攻击者主机权限获取flag文件。<\/p>

分析工具准备<\/h2>

FTK Imager<\/strong>：用于挂载.raw磁盘镜像文件<\/li>
R-Studio<\/strong>：用于打开挂载后的磁盘，扫描并恢复删除的文件<\/li>
IDA Pro<\/strong>：用于逆向分析二进制文件<\/li>

CyberChef<\/strong>：用于计算MD5值等编码转换<\/li> <\/ol>
题目1：找出主机上木马回连的主控端服务器IP地址<\/h2>
要求<\/strong>：找出周期性回连的主控端服务器IP:port，以flag{MD5(IP:port)}形式提交<\/p>
解题步骤<\/h3>

在ubuntu用户目录下发现删除的1.txt，内容显示曾从http:\/\/mirror.unknownrepo.net\/f\/l\/a\/g\/system_upgrade<\/code>下载文件并储存为\/tmp\/.system_upgrade<\/code><\/p> <\/li>
在用户目录下发现.viminfo缓存文件，显示编辑过system-upgrade.service<\/code>文件<\/p> <\/li>
在\/etc\/systemd\/system<\/code>找到system-upgrade.service<\/code>文件，内容为加载自定义内核模块system-upgrade.ko<\/code><\/p> <\/li>
在\/lib\/modules\/5.4.0-84-generic\/kernel\/drivers\/system<\/code>找到system-upgrade.ko<\/code>文件<\/p> <\/li>
使用IDA逆向分析system-upgrade.ko<\/code>：<\/p> Shift+F12查看字符串，发现可疑IP地址192.168.57.203<\/code><\/li> 尝试端口4948、1337、8080，确认正确为4948<\/li> <\/ul> <\/li> 计算MD5：<\/p> echo -n "192.168.57.203:4948"<\/span> | md5sum <\/span><\/span><\/code><\/pre>结果为：59110f555b5e5cd0a8713a447b082d63<\/code><\/p> <\/li> <\/ol> 答案<\/h3> flag{59110f555b5e5cd0a8713a447b082d63}<\/code><\/p> 题目2：找出主机上驻留的远控木马文件本体<\/h2> 要求<\/strong>：计算该文件的MD5，提交形式：flag{md5}<\/p> 解题步骤<\/h3> 通过分析system-upgrade.ko<\/code>发现其调用并隐藏了systemd-agentd<\/code>进程<\/p> <\/li> 在\/lib\/systemd\/<\/code>目录下找到systemd-agentd<\/code>文件<\/p> <\/li> 计算MD5：<\/p> md5sum \/lib\/systemd\/systemd-agentd <\/span><\/span><\/code><\/pre>结果为：bccad26b665ca175cd02aca2903d8b1e<\/code><\/p> <\/li> <\/ol> 答案<\/h3> flag{bccad26b665ca175cd02aca2903d8b1e}<\/code><\/p> 题目3：找出主机上加载远控木马的持久化程序<\/h2> 要求<\/strong>：计算该文件的MD5，提交形式：flag{MD5}<\/p> 解题步骤<\/h3> 确认system-upgrade.ko<\/code>是木马加载器<\/p> <\/li> 计算MD5：<\/p> md5sum \/lib\/modules\/5.4.0-84-generic\/kernel\/drivers\/system\/system-upgrade.ko <\/span><\/span><\/code><\/pre>结果为：78edba7cbd107eb6e3d2f90f5eca734e<\/code><\/p> <\/li> <\/ol> 答案<\/h3> flag{78edba7cbd107eb6e3d2f90f5eca734e}<\/code><\/p> 题目4：查找持久化程序植入时的原始名称<\/h2> 要求<\/strong>：计算原始名称字符串的MD5，提交形式：flag{MD5}<\/p> 解题步骤<\/h3> 根据1.txt内容，原始下载文件名为.system_upgrade<\/code><\/p> <\/li> 计算MD5：<\/p> echo -n ".system_upgrade"<\/span> | md5sum <\/span><\/span><\/code><\/pre>结果为：9729aaace6c83b11b17b6bc3b340d00b<\/code><\/p> <\/li> <\/ol> 答案<\/h3> flag{9729aaace6c83b11b17b6bc3b340d00b}<\/code><\/p> 题目5：获取木马通信加密密钥<\/h2> 要求<\/strong>：提交形式：flag{通信加密密钥}<\/p> 解题步骤<\/h3> 逆向分析systemd-agentd<\/code>：<\/p> <\/li> 发现可疑字符串unk_4beffd<\/code>可能是密文<\/p> <\/li> 跟踪到sub_405ec9<\/code>函数，发现是对数据进行异或编码<\/p> <\/li> 编写解码脚本解密后得到密钥<\/p> <\/li> <\/ol> 答案<\/h3> flag{ThIS_1S_th3_S3cR3t_fl@g}<\/code><\/p> 题目6&7：获取攻击者服务器权限<\/h2> 说明<\/strong>：由于没有远程服务器环境，无法实际复现<\/p> 技术分析总结<\/h2> system-upgrade.ko分析<\/h3> 这是一个内核级rootkit，主要功能包括：<\/p> 初始化钩子<\/strong>：篡改文件系统、网络栈、进程管理等接口<\/li> 命令接口<\/strong>： HIDEME\/SHOWME：隐藏\/显示功能<\/li> HIDE\/SHOW DENT：隐藏\/显示目录项<\/li> HIDE\/SHOW TCP\/UDP PORT\/IP：隐藏网络端口或IP<\/li> BINDSHELL_CREATE：创建绑定shell<\/li> RUN_CUSTOM_BASH：执行自定义shell命令<\/li> <\/ul> <\/li> 默认隐藏<\/strong>：隐藏自身和相关进程、端口、IP<\/li> <\/ol> systemd-agentd分析<\/h3> 远控木马功能：<\/p> 检查本地是否存在systemd-agentd<\/code>文件<\/li> 如果不存在则从https:\/\/192.168.57.207\/wp-content\/uploads\/2025\/02\/agent<\/code>下载<\/li> 给予执行权限并运行<\/li> 使用加密通信与C2服务器192.168.57.203:4948<\/code>连接<\/li> <\/ol> 参考资源<\/h2> TryHackMyOffsecBox WriteUp<\/a><\/li> 阿里云先知社区<\/a><\/li> 个人博客分析<\/a><\/li> CSDN博客<\/a><\/li> <\/ol>

第二届“长城杯”半决赛ISW赛后复现教学文档<\/h1>

题目1：找出主机上木马回连的主控端服务器IP地址<\/h2>
要求<\/strong>：找出周期性回连的主控端服务器IP:port，以flag{MD5(IP:port)}形式提交<\/p>

答案<\/h3>
`flag{ThIS_1S_th3_S3cR3t_fl@g}<\/code><\/p>`

参考资源<\/h2>

TryHackMyOffsecBox WriteUp<\/a><\/li>
阿里云先知社区<\/a><\/li>
个人博客分析<\/a><\/li>
CSDN博客<\/a><\/li> <\/ol>

第二届“长城杯”半决赛ISW赛后复现教学文档<\/h1>

题目1：找出主机上木马回连的主控端服务器IP地址<\/h2> 要求<\/strong>：找出周期性回连的主控端服务器IP:port，以flag{MD5(IP:port)}形式提交<\/p>

答案<\/h3> flag{ThIS_1S_th3_S3cR3t_fl@g}<\/code><\/p>

参考资源<\/h2> TryHackMyOffsecBox WriteUp<\/a><\/li> 阿里云先知社区<\/a><\/li> 个人博客分析<\/a><\/li> CSDN博客<\/a><\/li> <\/ol>

题目1：找出主机上木马回连的主控端服务器IP地址<\/h2>
要求<\/strong>：找出周期性回连的主控端服务器IP:port，以flag{MD5(IP:port)}形式提交<\/p>

答案<\/h3>
`flag{ThIS_1S_th3_S3cR3t_fl@g}<\/code><\/p>`

参考资源<\/h2>

TryHackMyOffsecBox WriteUp<\/a><\/li>
阿里云先知社区<\/a><\/li>
个人博客分析<\/a><\/li>
CSDN博客<\/a><\/li> <\/ol>