第五届蓝帽杯-溯源取证wp

现在请你根据获取到的镜像服务器内容，回答以下问题：

q: 黑客通过哪个端口攻击进入的? == A

q: 黑客修改后的root密码是什么? == B

q: 黑客释放的工具服务端ip地址是什么? == C

q: 黑客窃取的秘密文件 md5 是什么? == D

flag = flag{md5(A-B-C-D)}

假如答案依次为 44，admin1234，1.2.3.4，ea8d35dca54375cbe711823545513fae

flag = flag(md5("44-admin1234-1.2.3.4-ea8d35dca54375cbe711823545513fae")) = flag{e9835dddd96a2ff70437c201618a8174}

直接使用vmdk文件创建虚拟机，结果弹出提示

点击全部允许之后，进不去系统，到达了initramfs页面

由于提供的vmdk文件只有1G大小，将其转回raw文件，发现有10个G的大小，再次转回vmdk，这时发现vmdk已经不是原来的1G，而是3G

使用这个文件成功进入系统，但是不知道密码，接下来重置密码

重启虚拟机，在引导页面出现是快速按方向键，选择高级模式

在高级模式中选择恢复模式

找到如图所示的ro recovery nomodeset，将其改为quiet splash rw init=/bin/bash

接下来按下Ctrl+x进入系统，使用passwd命令设置密码

重启虚拟机即可使用刚刚设置的密码登录

修改ip，使用nat模式，方便进行ssh连接，更好的查看信息

修改完使用dhclient自动获取ip，然后查看即可

接下来就可以ssh进行连接

但是却不能连接，先去查看ssh的配置文件，找到元凶

原来是设置了禁止root使用密码登录，将值改为yes后重启ssh服务service ssh restart

成功登录

查看历史命令，发现使用了容器ceshi01和shengchan01

进入两个容器进行检查，发现异常php文件，这个文件用于展示接口，是一句话木马

文件处在ceshi01容器当中，那么极有可能是从这个容器进行攻击的，查看ceshi01容器的端口信息

docker inspect ceshi01

可以看到，入侵的端口应该是8080

下面要破解原来的root密码，在重置密码前，我已经利用7zip复制出shadow中的数据

在网上搜索后发现，可以使用john来破解，这是linux下的工具，直接在虚拟机中安装即可apt-get install john

使用命令john shadow文件即可开始破解，这次破解花费了4分钟

解出来ubuntu用户的密码为1，root密码为123465，root密码已经被我们改掉了，不能测试正确性，但是可以测试用户ubuntu的密码，发现密码是正确的

启动两个容器，分别查看历史记录，发现在shengchan01中有异常

按照命令来计算md5哈希值得到5363d0b99d892ecda988fd58e893bfe0

查看系统的登录记录，登录日期是在6月2日，只关注在这个日期修改过的文件

最后发现一个离下线很近的文件

查看发现给出了ip地址和一个elf文件，不过这个ip地址并不是正确的（这么好的ip黑客真的买得起吗）

frpc是用于内网渗透的，丢到winhex中查找111，发现了真正的ip为211.211.171.11

最后

A=8080
B=123465
C=211.211.171.11
D=5363d0b99d892ecda988fd58e893bfe0
flag=flag{md5(A-B-C-D)}
flag=flag{md5(8080-123465-211.211.171.11-5363d0b99d892ecda988fd58e893bfe0)}
flag=flag{d098c29b838c73e0819854c05f23307d}