2024 长城杯 & 国赛 初赛 威胁检测与网络流量分析 sc05
· 阅读需 17 分钟
2024 长城杯 & 国赛 初赛 威胁检测与网络流量分析 sc05
官方 writeup 未公布,无标准答案
信息
近日某公司网络管理员老张在对安全设备进行日常巡检过程中发现防火墙设备日志中产生了 1 条高危告警,告警 IP 为 134.6.4.12 (简称 IP1),在监测到可疑网络活动后,老张立刻对磁盘和内存制做了镜像。为考校自己刚收的第一个徒弟李华,老张循序渐进,布置了 5 道问题。假如你是李华,请你根据提供的防火墙日志、磁盘镜像及内存镜像文件对主机开展网络安全检查分析,并根据 5 道问题提示,计算并提交相应 flag。
致谢
感谢以下各位师傅没有嫌弃我烦人,并对我提供帮助 (排名不分先后)
- Tokeii
- penguin
- b3nguang
- 我好想睡觉
- 0xfc
First of all
启动 MemProcFS
PS D:\_Tools\MemProcFS_files_and_binaries_v5.13.3-win_x64-20241218> .\memprocfs.exe -license-accept-elastic-license-2-0 -f "D:\Downloads\38c44f100028b56e09dc48522385fa95\附件\内存\Windows 10 x64-Snapshot13.vmem" -forensic 1
DEVICE: WARN: No VMware memory regions located - file will be treated as single-region.
Initialized 64-bit Windows 10.0.19045
============================== MemProcFS ==============================
- Author: Ulf Frisk - pcileech@frizk.net
- Info: https://github.com/ufrisk/MemProcFS
- Discord: https://discord.gg/pcileech
- License: GNU Affero General Public License v3.0
---------------------------------------------------------------------
MemProcFS is free open source software. If you find it useful please
become a sponsor at: https://github.com/sponsors/ufrisk Thank You :)
---------------------------------------------------------------------
- Version: 5.13.3 (Windows)
- Mount Point: M:\
- Tag: 19045_7c025429
- Operating System: Windows 10.0.19045 (X64)
==========================================================================
[FORENSIC] Forensic mode completed in 12s.
1
IP1 地址首次被请求时间是多久?计算内容如:
2020/05/18_19:35:10
提交格式:flag{32位大写MD5值}
题目附件提供了 firewall.xlsx
防火墙日志数据,直接搜索就好
可以发现,建立 TCP 连接的时间要早于 HTTP 连接,所以答案是建立 TCP 连接的时间
flag{MD5(2024/11/09_16:22:42)}
flag{01DF5BC2388E287D4CC8F11EA4D31929}
2
IP1 地址对应的小马程序 MD5 是多少?提交格式:
flag{32位大写MD5值}
在 admin
用户的桌面发现一个 HRSword.lnk
快捷方式
跳转到 Root\Users\admin\AppData\Roaming\HRSword5-green\HRSword.exe
这不是很明显嘛,谁家可执行文件放 Appdata 目录
将 HRSword5-green
文件夹导出进行分析,发现一众 dll
文件中,就 uactmon.dll
没有数字签名,这一点很可疑
在本地对 Func_1
函数进行分析
下个断点,动调看一下
即可确定 uactmon.dll
是小马,采用的是白加黑的对抗方式
PS D:\Desktop\HRSword5-green> get-FileHash -Algorithm MD5 .\uactmon.dll
Algorithm Hash Path
--------- ---- ----
MD5 AE68F576C8671A9A32CDD33FBE483778 D:\Desktop\HRSword5-green\uactm…
flag{MD5(uactmon.dll)}
flag{AE68F576C8671A9A32CDD33FBE483778}