2023一带一路金砖国家企业信息安全赛项云启安全竞赛练习题 ...

SSH设置评估

1通太过析SSH服务器的设置，禁止root用户长途登录，将需要修改的设置项作为flag 值提交，如涉及到多项内容，中间用/分隔，提交格式：flag }***/***{；

flag{PermitRootLogin no}
通太过析SSH服务器的设置，禁止空密码登录，将需要修改的设置项作为flag 值提交，如涉及到多项内容，中间用/分隔，提交格式：flag }***/***{

flag{PermitEmptyPasswords no}
通太过析SSH服务器的设置，取消密码验证，只用密钥对验证，将需要修改的设置项作为flag 值提交，如涉及到多项内容，中间用/分隔，提交格式：flag{***/***}；
flag{PasswordAuthentication no/PubkeyAuthentication yes}
通太过析SSH服务器的设置，公钥默认存放的路径及文件名，将需要修改的设置项作为flag 值提交，如涉及到多项内容，中间用/分隔，提交格式：flag{***/***}；
flag{.ssh/authorized_keys}
通太过析SSH服务器的设置，将公钥传送到长途主机192.168.1.100中的命令，将该命令作为flag 值提交，提交格式：flag{***/***}；
flag{ssh-copy-id 192.168.1.100}
通太过析SSH服务器的设置，禁止用户andy从主机192.168.20.200登录SSH服务器，将需要修改的设置项作为flag 值提交，如涉及到多项内容，中间用/分隔，提交格式：flag{***/***}；
flag{DenyUsers andy@192.168.20.200}
web2
1Web2体系存在弊端，请利用弊端并找到WEB体系中隐蔽的url信息，并将url信息作为flag提交
nmap能扫出8080端口
用浏览器访问to_key

将这个东西base85解密得到flag
import base64
base64.a85decode(b"D0’>4BLbD1ATD?)05YcC1, (I=0JP79")
2请利用弊端并找到flag，并将flag提交
直接浏览器访问80端口，然后burpz抓包
url后面改成key.php

然后协议改成filte

然后看到源码，但是没有过滤分号，所以可以命令执行

cat *就能显示所有文件出来

内存取证

内存取证-volatility工具的使用 （史上更全教程，更全命令） - 路baby - 博客园 (cnblogs.com)
11.分析内存镜像，找到内存中的恶意历程，并将历程的名称作为flag值提交, 格式flag{xx}
python3 vol.py -f AdminNC.raw windows.pstree
test.exe步伐可疑
工具是2.6版本
先把pyhton情况改成2.7

查看体系信息：

查看历程
volatility -f /root//AdminNC.raw --profile=Win2003SP1x86 pstree
2.分析内存镜像，找到恶意步伐偏移后的历程号并作为flag提交（如有多个逗号分隔）格式flag{1,2,3}
查看联网的历程
volatility -f /root//AdminNC.raw --profile=Win2003SP1x86 connections

3616是我们上一题能在历程看到的test.exe的历程ID，可见另外两个应该就是他的偏移。
3.分析内存镜像找到恶意网站链接并作为flag提交, 格式flag{xx,xx}
查看浏览器历史记录
volatility -f /root//AdminNC.raw --profile=Win2003SP1x86 iehistory

4.分析内存镜像，该恶意步伐被植入到体系自启文件中，找到该文件所在的Virtual地址将其作为flag提交，格式flag{xx}
查看注册表设置单位
volatility -f /root//AdminNC.raw --profile=Win2003SP1x86 hivelist
记住开启自启动项目在software

5.分析内存镜像，找到恶意步伐植入体系的开机自启痕迹，将启动项中最后一次更新的时间(yyyy-mm-dd hh:mm:ss)作为flag提交，格式flag{yyyy-mm-dd hh:mm:ss}
查找注册表的值：
volatility -f /root//AdminNC.raw --profile=Win2003SP1x86 printkey

volatility -f /root//AdminNC.raw --profile=Win2003SP1x86 printkey -K Microsoft

注册表开启启动项 - 狂客 - 博客园 (cnblogs.com)
volatility -f /root//AdminNC.raw --profile=Win2003SP1x86 printkey -K Microsoft\\Windows\\CurrentVersion\\Run

从内存文件中找到异常步伐植入到体系的开机自启痕迹 shimcache

日志信息分析

(35条消息) wirehark数据分析与取证logs.pcapng_使用wireshark查看并分析windows 7桌面下的logs.pcapng数据包文件,找出恶意_落寞的魚丶的博客-CSDN博客
病毒分析:

(37条消息) Windows历程创建函数_windows创建历程函数_Dragon Fly的博客-CSDN博客

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。