2026獬豸杯逆向分析+服务器取证

📅 2026/7/13 13:42:22
2026獬豸杯逆向分析+服务器取证
五、逆向分析1. 样本中的 C2 地址与端口分别是多少【答案格式127.0.0.1:8080】strings里面扫出来搜索pyi发现有很多字符串说明这个exe 不是普通原生 C/C 程序而是Python 脚本被 PyInstaller 打包成 exe此外还可以用Die工具进行扫描得出包装是pyinstaller下面就是如何解包了用的是其他师傅推荐的在线解包网站PyInstaller Extractor WEB其中上面还显示了工具发现了几个可能会在程序启动时执行的入口模块其中edu_ratsample.pyc不像 PyInstaller 的系统模块更像样本作者自己的主程序因此进一步进行反编译这个pyc文件用这个工具PyLingual# Decompiled with PyLingual (https://pylingual.io) # Internal filename: edu_ratsample.py # Bytecode version: 3.13.0rc3 (3571) # Source timestamp: 1970-01-01 00:00:00 UTC (0) # ***module: Failure: Different control flow import base64 import socket import sys import time C2_HOST 192.0.2.1 C2_PORT 64123 BEACON_B64 eyJ0IjoiYmVhY29uIiwidiI6IjEuMCJ9 MUTEX_NAME Global\\EduLab_RAT_Mutex_2026 USER_AGENT Mozilla/5.0 (EduLab; Win32) RAT-Stub/1.0 def _xor(data: bytes, key: bytes) - bytes: return bytes((b ^ key[i % len(key)] for i, b in enumerate(data))) def build_payload() - bytes: raw base64.b64decode(BEACON_B64) key bEDU return _xor(raw, key) def try_connect() - None: # ***module.try_connect: Failure: Different control flow s, payload (build_payload(), socket.socket(socket.AF_INET, socket.SOCK_STREAM)) try: pass except OSError: pass finally: s.close() def main() - int: _ MUTEX_NAME try_connect() return 0 sys.exit(main()) if __name__ __main__ else None里面就能查看到C2 地址与端口2. 样本使用的传输层协议是什么【答案格式HTTP】全大写首先题目问的是传输层协议所以排除应用层协议大概率是TCP和UDP中的一个正如反编译代码的开头所说***module: Failure: Different control flow反编译结果不完整整个恶意软件的执行流程如下图所示启动程序 ↓ 读取内置配置 ↓ Base64 解码信标内容 ↓ 使用 EDU 进行循环 XOR ↓ 创建 TCP socket ↓ 尝试连接 192.0.2.1:64123 ↓ 发送信标数据 ↓ 关闭连接并退出下面是判断协议的关键socket.socket(socket.AF_INET, socket.SOCK_STREAM)在 socket 编程里SOCK_STREAM 通常表示 TCPSOCK_DGRAM 通常表示 UDP3. 样本外发的 User-Agent 完整字符串是什么【按实际值填写】见上题分析4. Beacon 的 Base64 常量是什么【按实际值填写】见上题分析BEACON_B64 eyJ0IjoiYmVhY29uIiwidiI6IjEuMCJ9这是经过 Base64 编码的数据。解码后是{t:beacon,v:1.0}5. 样本中出现的 Mutex 名称是什么【按实际值填写】见上题分析6. 是否具备注册表 Run、计划任务、服务安装或 UAC 绕过等行为应该是没有的从反编译的结果来看恶意代码的流程里面只有base64网络通信一些内容没有发现注册表等行为。7. 该 exe 由何种方式打包【答案格式全大写】见上题分析个人感觉应该放在第一题因为很早就接触到了六、服务器取证1.请分析检材3服务器的内核版本号是多少【答案格式4.25.0】systemctl status sshd​直接用finalshell连接一下查看内核版本用的命令是uname -a​当然也可以用火眼直接查看​2.请分析检材3嫌疑人将某普通用户加入特殊用户组赋予其读取 /etc/shadow 的权限请问该普通用户的用户名是什么【答案格式admin】这里我们直接查看/etc/shadow目录下面的权限和访问控制列表情况getfacl /etc/shadow​在user里面发现一个用户ahao3.请分析检材3分析嫌疑人所使用的 Web 服务器其具体名称及主版本号是什么【答案格式apache/2.40】用命令查看 Linux 系统中的TCP 网络连接、监听端口以及对应进程netstat -antp​火眼里面也可以看到是nginx​直接查看一下版本号4.请分析检材3嫌疑人借助 AI 部署 “守卫” 脚本非管理员 IP 登录时将触发定时强制登出该服务每隔几分钟触发一次【答案格式10】因为是已经在运行的脚本所以我们查看一下现在正在运行的进程ps aux​脚本嘛这个py后缀的文件挺像的cat一下或者火眼的文件里面导出来查看​所以是5分钟5.请分析检材3计算服务器内数据库备份文件计算其SHA256哈希值取后6位字母大写。【答案格式6DEF38】一开始直接在火眼里面搜索文件backup发现不对后来看其他的师傅的wp发现竟然在计算机镜像的E盘里面这个跨度貌似有点大啊​6.请分析检材3MySQL 数据库 root 用户的登录密码是什么【答案格式根据实际值填写】知识点/usr/share/nginx/html是许多 Nginx 环境的默认网站根目录也就是 Nginx 对外提供网页文件的位置。于是进行翻找发现了配置文件config.php由于nginx本身没有“数据库配置”你在这个目录下发现的数据库账号、密码等信息通常属于Nginx 托管的 Web 应用程序而不是 Nginx 自己的配置​7.请分析检材3外挂网站所对外开放的端口号是多少【答案格式1234】而etc/nginx是Linux 中Nginx 的标准配置目录# For more information on configuration, see: # * Official English Documentation: http://nginx.org/en/docs/ # * Official Russian Documentation: http://nginx.org/ru/docs/ user nginx; worker_processes auto; error_log /var/log/nginx/error.log; pid /run/nginx.pid; # Load dynamic modules. See /usr/share/doc/nginx/README.dynamic. include /usr/share/nginx/modules/*.conf; events { worker_connections 1024; } http { log_format main $remote_addr - $remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent $http_x_forwarded_for; access_log /var/log/nginx/access.log main; sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_timeout 65; types_hash_max_size 4096; include /etc/nginx/mime.types; default_type application/octet-stream; # Load modular configuration files from the /etc/nginx/conf.d directory. include /etc/nginx/conf.d/*.conf; server { listen 8081; listen [::]:8081; server_name shop.aakkjx.top; root /usr/share/nginx/html; include /etc/nginx/default.d/*.conf; location / { index index.php index.html index.htm; } location ~ \.php$ { root /usr/share/nginx/html; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } error_page 404 /404.html; location /404.html { } error_page 500 502 503 504 /50x.html; location /50x.html { } } # # server { # listen 443 ssl http2; # listen [::]:443 ssl http2; # server_name _; # root /usr/share/nginx/html; # # ssl_certificate /etc/pki/nginx/server.crt; # ssl_certificate_key /etc/pki/nginx/private/server.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 10m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # # include /etc/nginx/default.d/*.conf; # # error_page 404 /404.html; # location /40x.html { } # # error_page 500 502 503 504 /50x.html; # location /50x.html { } # } }netstat -antp列出当前系统所有的 TCP 网络连接详情​8.请分析检材3嫌疑人为上传大型恶意插件修改文件上传限制其最大上传限制是多少【答案格式100M】问AI说是文件上传限制的关键词是client_max_body_size直接爆搜关键词就能发现​此外还可以通过查看嫌疑人用vim编辑过哪些内容/root/.viminfo​除了有之前network-check还有就是php.ini9.请分析检材3嫌疑人设置数据库定时自动备份并上传至境外请问该境外服务器的IP地址是多少【答案格式8.8.8.8]】首先是定时任务自然想到关键词crontab -l发现了自动备份脚本​查看一下这个自动备份脚本​10.请分析检材3嫌疑人登录后台的目录路径是什么【答案格式/abc/abc】一般就是要找login.php这个文件搜索下发现又两个目录下都有这个文件​仔细比对一下发现static/login.php和admin/login.php仔细进去阅读两者的代码发现static/login.php里面更加提到了“后台登录的”字样所以答案是/fk/static11.请分析检材3访问后台登录页面次数最多的 IP 地址是什么【答案格式192.168.1.1】可以直接在火眼里面暴力搜索​也可以将数据库faka_backup.sql重新构建一下首先是用小皮面板连接一下本地数据库然后​​12.请分析检材3网站后台管理员的明文密码为多少【答案格式根据实际值填写】首先是在备份数据库里面的配置表格里面找到了密码信息94bd34e3010a6468f312eafe359e9d926fc16bba62c0b6cf646d041a5c281bf2此外在之前的login.php里面发现pwd是加盐的2025baofu!代码审计一下发现最后的密码会经过如下加密SHA-256用户输入的密码 2025baofu!标准的加盐sha256($pass.$salt)用hashcat暴力破解一下最终破解出来时abc12345613.请分析检材3该网站支付接口所对接的第三方接入商名称是什么【答案格式根据实际值填写】依旧还是不会仿起来网站只能去看别的师傅怎么做了在shua_config表里面找到了跟支付相关的信息代号说是要去查看/static/set.php这个文件然后发现大量的混淆接下来就是解码于是让AI写反混淆脚本最后得到无忧支付14.请分析检材3网站的创建时间是什么时候【答案格式2026/5/20】同样是查看shua_config表格2018/12/1415.请分析检材3网站Git配置信息中找出作者姓名是什么【答案格式根据实际值填写】网站的git信息这里是查看一下历史命令记录筛选出和git命令有关的然后顺藤摸瓜找一下现在的位置发现了git.txt文件查看一下里面的内容[core] repositoryformatversion 0 filemode true bare false logallrefupdates true [user] name 576d6868626d6454595735665532566a email zhangsandev.internal给AI分析了一下说是先16进制然后base64解密答案是ZhangSan_Sec16.请分析检材3分析该网站 2025 年 6 月 1 日至 12 月 31 日的全部订单其中状态为 已完成 的订单总成交金额为多少【答案格式1234】首先是需要找到对应的状态码——已完成在shua_config这个表里面看到了貌似对应的关系于是能勉强对应上0 待处理1 已完成2 处理中3 有异常所以我们要筛选status1的值在shua_orders这个表里面于是构造sql查询语句SELECT SUM(money) AS 总成交金额 FROM 你的表名 WHERE status 1 AND addtime 2025-06-01 00:00:00 AND addtime 2025-12-31 23:59:59;17.请分析检材3分析 2025 年全年的订单数据计算下单金额总计最高的那一天的总金额是多少【答案格式1234】同样的是在订单这个表里面进行查询SELECT DATE(addtime) AS 销售日期, SUM(money) AS 当日总金额 FROM 你的表名 GROUP BY DATE(addtime) ORDER BY 当日总金额 DESC LIMIT 1;18.请分析检材3统计全部订单数据购买数量累计最高的应用名称是什么【答案格式根据实际值填写】首先我们还是在订单里面进行基础的查询不过这里我们主要过滤的是tid字段因为在shua_tools表里面我们得知tid是商品的名称于是我们只需要找到哪个tid是购买数量最多的SELECT tid, COUNT(*) AS 出现次数 FROM shua_orders GROUP BY tid ORDER BY 出现次数 DESC LIMIT 1;找到之后再去shua_tools对应比较一下19.请分析检材3统计全部订单数据用户累计购买总额最高的用户账号是哪个【答案格式admin】首先是要找useridSELECT userid, SUM(money) AS 总消费金额 FROM shua_orders WHERE status 1 GROUP BY userid ORDER BY 总消费金额 DESC LIMIT 1;然后发现在shua_site里面有个类似的id字段不过在这里是zid20.请分析检材3嫌疑人创建的拥有 FILE 与 SUPER 权限的隐蔽 MySQL 账户其用户名是什么【答案格式admin】这里又回到了服务器自己的mysql了首先是先用navicat连接一下先用ssh打通一下主机ifconfig用户名和密码经过火眼之后默认是root/123456然后再连接一下数据库数据库密码在第六题的得到的配置信息中可以得出然后连接上了之后直接在navicat里面搜索关键词file或者super查看具体在哪个表里面提到在工具的数据库查找里面然后选择结构就发现了File_priv这个权限信息是在user表里面SELECT User, Host, File_priv, Super_priv FROM mysql.user WHERE File_priv Y AND Super_priv Y;最后写的查询命令得到了结果排除root