2024 长城杯 & 国赛初赛威胁检测与网络流量分析 zeroshell

2024年12月18日 · 阅读需 3 分钟

Why So Serious?

官方 writeup 未公布，无标准答案

信息

小路是一名实习生，接替公司前任网管的工作，一天发现公司网络出口出现了异常的通信，现需要通过回溯出口流量对异常点位 (防火墙) 进行定位，并确定异常的设备。然后进行深度取证检查（需要获取 root 权限）。现在需要你从网络攻击数据包中找出漏洞攻击的会话，分析会话编写 exp 或数据包重放获取防火墙设备管理员权限，查找防火墙设备上安装的木马，然后分析木马外联地址和通信密钥以及木马启动项位置。

1

从数据包中找出攻击者利用漏洞开展攻击的会话（攻击者执行了一条命令），写出该会话中设置的 flag, 结果提交形式：flag{xxxxxxxxx}

2

通过漏洞利用获取设备控制权限，然后查找设备上的 flag 文件，提取 flag 文件内容，结果提交形式：flag{xxxxxxxxxx}

3

找出受控机防火墙设备中驻留木马的外联域名或 IP 地址，结果提交形式：flag{xxxx}，如 flag{www.abc.com} 或 flag{16.122.33.44}

4

请写出木马进程执行的本体文件的名称，结果提交形式：flag{xxxxx}，仅写文件名不加路径

5

请提取驻留的木马本体文件，通过逆向分析找出木马样本通信使用的加密密钥，结果提交形式：flag{xxxx}

6

请写出驻留木马的启动项，注意写出启动文件的完整路径。结果提交形式：flag{xxxx}，如 flag{/a/b/c}

TODO 未完成

1​

2​

3​

4​

5​

6​

1

2

3

4

5

6