跟着网安药水哥来打靶场(应急响应-vulntarget-n-勒索病毒应急靶场)
字数 1343 2025-08-19 12:40:36

勒索病毒应急响应靶场实战教学文档

靶场环境概述

  • 操作系统: Linux
  • 服务器账号: root
  • 密码: Vulntarget@123
  • 题目来源: 乌鸦安全公众号
  • 场景描述: 阿里云部署的业务环境首页被替换为勒索界面,部分重要文件被加密为.vulntarget结尾

应急响应任务要求

  1. 分析攻击事件的发生过程,绘制攻击画像
  2. 解密被勒索的文件
  3. 恢复原始index.jsp页面,恢复正常web服务
  4. 找到隐藏的3个flag

实战步骤详解

Flag1获取

  1. 使用history命令查看攻击者留下的痕迹
  2. 直接可以在历史命令记录中发现flag1

Flag2获取

  1. 继续分析history命令输出,发现攻击者生成了RSA公钥和私钥且未删除
  2. 使用find命令定位密钥文件: 
    find . -name pubkey.pem
    (若未找到,执行cd /切换到根目录再查找)
  3. 私钥与公钥在同一目录,使用: 
    cd ../
cat privkey.pem
  4. 通过history可知加密文件位于/opt/tomcat/webapps/ROOT/目录
  5. 查看加密的flag文件: 
    cat /opt/tomcat/webapps/ROOT/flag.jsp.vulntarget
  6. 使用在线RSA解密工具,结合获取的公钥、私钥和加密文件内容解密得到flag2

Flag3获取

  1. 确认网站基于Tomcat搭建,日志位于/opt/Tomcat/logs
  2. 由于攻击发生在2024.06.04,查看对应日志: 
    cat /opt/Tomcat/logs/localhost_access_log.2024-06-04.txt
  3. 使用grep过滤flag相关记录: 
    cat /opt/Tomcat/logs/localhost_access_log.2024-06-04.txt | grep flag

攻击画像分析

攻击路径还原

  1. 初始入侵: 攻击者利用Tomcat PUT方法漏洞上传Webshell
    • 漏洞详情: Windows上的Apache Tomcat如果开启PUT方法(默认关闭),攻击者可上传JSP文件导致RCE
  2. 权限维持: 上传的Webshell被重命名为404.jsp
  3. 横向移动: 通过Webshell执行系统命令
  4. 数据加密:
    • 在受害者机器上生成RSA公私钥
    • 使用公钥加密关键数据
    • 攻击者忘记删除生成的公私钥
  5. 勒索实施:
    • 将index.jsp文件替换为勒索界面
    • 加密重要文件并添加.vulntarget扩展名

漏洞利用关键点

  • Tomcat PUT方法漏洞利用
  • Webshell上传与隐藏(重命名为404.jsp)
  • 本地RSA密钥生成与文件加密
  • 系统命令执行痕迹

恢复措施

  1. 文件解密:
    • 使用找到的私钥解密被加密文件
    • 特别注意恢复index.jsp原始文件
  2. 漏洞修复:
    • 关闭Tomcat PUT方法
    • 删除恶意Webshell(404.jsp)
  3. 系统加固:
    • 检查并删除异常用户账户
    • 更新Tomcat到最新版本
    • 检查crontab等持久化位置

取证要点总结

  1. 日志分析:
    • Tomcat访问日志
    • 系统命令历史(history)
  2. 文件系统检查:
    • 查找异常JSP文件
    • 检查/tmp等临时目录
    • 查找加密文件和勒索页面
  3. 进程与网络检查:
    • 异常进程
    • 可疑网络连接

红队注意事项

  1. 操作完成后务必清理痕迹
  2. 避免留下密钥文件等敏感信息
  3. 考虑使用内存执行等方式减少文件落地

教学总结

本靶场完整展示了从勒索病毒应急响应到攻击还原的全过程,重点训练了以下技能:

  1. Linux系统应急响应流程
  2. Tomcat漏洞分析与利用
  3. RSA加密原理与实战解密
  4. 日志分析与攻击路径还原
  5. 多维度取证技术应用

通过此靶场,学员可全面掌握企业环境中勒索病毒事件的应急响应方法与技巧。

勒索病毒应急响应靶场实战教学文档 靶场环境概述 操作系统 : Linux 服务器账号 : root 密码 : Vulntarget@123 题目来源 : 乌鸦安全公众号 场景描述 : 阿里云部署的业务环境首页被替换为勒索界面,部分重要文件被加密为.vulntarget结尾 应急响应任务要求 分析攻击事件的发生过程,绘制攻击画像 解密被勒索的文件 恢复原始index.jsp页面,恢复正常web服务 找到隐藏的3个flag 实战步骤详解 Flag1获取 使用 history 命令查看攻击者留下的痕迹 直接可以在历史命令记录中发现flag1 Flag2获取 继续分析 history 命令输出,发现攻击者生成了RSA公钥和私钥且未删除 使用find命令定位密钥文件: (若未找到,执行 cd / 切换到根目录再查找) 私钥与公钥在同一目录,使用: 通过history可知加密文件位于 /opt/tomcat/webapps/ROOT/ 目录 查看加密的flag文件: 使用在线RSA解密工具,结合获取的公钥、私钥和加密文件内容解密得到flag2 Flag3获取 确认网站基于Tomcat搭建,日志位于 /opt/Tomcat/logs 由于攻击发生在2024.06.04,查看对应日志: 使用grep过滤flag相关记录: 攻击画像分析 攻击路径还原 初始入侵 : 攻击者利用Tomcat PUT方法漏洞上传Webshell 漏洞详情: Windows上的Apache Tomcat如果开启PUT方法(默认关闭),攻击者可上传JSP文件导致RCE 权限维持 : 上传的Webshell被重命名为404.jsp 横向移动 : 通过Webshell执行系统命令 数据加密 : 在受害者机器上生成RSA公私钥 使用公钥加密关键数据 攻击者忘记删除生成的公私钥 勒索实施 : 将index.jsp文件替换为勒索界面 加密重要文件并添加.vulntarget扩展名 漏洞利用关键点 Tomcat PUT方法漏洞利用 Webshell上传与隐藏(重命名为404.jsp) 本地RSA密钥生成与文件加密 系统命令执行痕迹 恢复措施 文件解密 : 使用找到的私钥解密被加密文件 特别注意恢复index.jsp原始文件 漏洞修复 : 关闭Tomcat PUT方法 删除恶意Webshell(404.jsp) 系统加固 : 检查并删除异常用户账户 更新Tomcat到最新版本 检查crontab等持久化位置 取证要点总结 日志分析 : Tomcat访问日志 系统命令历史(history) 文件系统检查 : 查找异常JSP文件 检查/tmp等临时目录 查找加密文件和勒索页面 进程与网络检查 : 异常进程 可疑网络连接 红队注意事项 操作完成后务必清理痕迹 避免留下密钥文件等敏感信息 考虑使用内存执行等方式减少文件落地 教学总结 本靶场完整展示了从勒索病毒应急响应到攻击还原的全过程,重点训练了以下技能: Linux系统应急响应流程 Tomcat漏洞分析与利用 RSA加密原理与实战解密 日志分析与攻击路径还原 多维度取证技术应用 通过此靶场,学员可全面掌握企业环境中勒索病毒事件的应急响应方法与技巧。