发布时间:2026/7/13 13:42:22
2026獬豸杯逆向分析+服务器取证 五、逆向分析1. 样本中的 C2 地址与端口分别是多少【答案格式127.0.0.1:8080】strings里面扫出来搜索pyi发现有很多字符串说明这个exe 不是普通原生 C/C 程序而是Python 脚本被 PyInstaller 打包成 exe此外还可以用Die工具进行扫描得出包装是pyinstaller下面就是如何解包了用的是其他师傅推荐的在线解包网站PyInstaller Extractor WEB其中上面还显示了工具发现了几个可能会在程序启动时执行的入口模块其中edu_ratsample.pyc不像 PyInstaller 的系统模块更像样本作者自己的主程序因此进一步进行反编译这个pyc文件用这个工具PyLingual# Decompiled with PyLingual (https://pylingual.io) # Internal filename: edu_ratsample.py # Bytecode version: 3.13.0rc3 (3571) # Source timestamp: 1970-01-01 00:00:00 UTC (0) # ***module: Failure: Different control flow import base64 import socket import sys import time C2_HOST 192.0.2.1 C2_PORT 64123 BEACON_B64 eyJ0IjoiYmVhY29uIiwidiI6IjEuMCJ9 MUTEX_NAME Global\\EduLab_RAT_Mutex_2026 USER_AGENT Mozilla/5.0 (EduLab; Win32) RAT-Stub/1.0 def _xor(data: bytes, key: bytes) - bytes: return bytes((b ^ key[i % len(key)] for i, b in enumerate(data))) def build_payload() - bytes: raw base64.b64decode(BEACON_B64) key bEDU return _xor(raw, key) def try_connect() - None: # ***module.try_connect: Failure: Different control flow s, payload (build_payload(), socket.socket(socket.AF_INET, socket.SOCK_STREAM)) try: pass except OSError: pass finally: s.close() def main() - int: _ MUTEX_NAME try_connect() return 0 sys.exit(main()) if __name__ __main__ else None里面就能查看到C2 地址与端口2. 样本使用的传输层协议是什么【答案格式HTTP】全大写首先题目问的是传输层协议所以排除应用层协议大概率是TCP和UDP中的一个正如反编译代码的开头所说***module: Failure: Different control flow反编译结果不完整整个恶意软件的执行流程如下图所示启动程序 ↓ 读取内置配置 ↓ Base64 解码信标内容 ↓ 使用 EDU 进行循环 XOR ↓ 创建 TCP socket ↓ 尝试连接 192.0.2.1:64123 ↓ 发送信标数据 ↓ 关闭连接并退出下面是判断协议的关键socket.socket(socket.AF_INET, socket.SOCK_STREAM)在 socket 编程里SOCK_STREAM 通常表示 TCPSOCK_DGRAM 通常表示 UDP3. 样本外发的 User-Agent 完整字符串是什么【按实际值填写】见上题分析4. Beacon 的 Base64 常量是什么【按实际值填写】见上题分析BEACON_B64 eyJ0IjoiYmVhY29uIiwidiI6IjEuMCJ9这是经过 Base64 编码的数据。解码后是{t:beacon,v:1.0}5. 样本中出现的 Mutex 名称是什么【按实际值填写】见上题分析6. 是否具备注册表 Run、计划任务、服务安装或 UAC 绕过等行为应该是没有的从反编译的结果来看恶意代码的流程里面只有base64网络通信一些内容没有发现注册表等行为。7. 该 exe 由何种方式打包【答案格式全大写】见上题分析个人感觉应该放在第一题因为很早就接触到了六、服务器取证1.请分析检材3服务器的内核版本号是多少【答案格式4.25.0】systemctl status sshd​直接用finalshell连接一下查看内核版本用的命令是uname -a​当然也可以用火眼直接查看​2.请分析检材3嫌疑人将某普通用户加入特殊用户组赋予其读取 /etc/shadow 的权限请问该普通用户的用户名是什么【答案格式admin】这里我们直接查看/etc/shadow目录下面的权限和访问控制列表情况getfacl /etc/shadow​在user里面发现一个用户ahao3.请分析检材3分析嫌疑人所使用的 Web 服务器其具体名称及主版本号是什么【答案格式apache/2.40】用命令查看 Linux 系统中的TCP 网络连接、监听端口以及对应进程netstat -antp​火眼里面也可以看到是nginx​直接查看一下版本号4.请分析检材3嫌疑人借助 AI 部署 “守卫” 脚本非管理员 IP 登录时将触发定时强制登出该服务每隔几分钟触发一次【答案格式10】因为是已经在运行的脚本所以我们查看一下现在正在运行的进程ps aux​脚本嘛这个py后缀的文件挺像的cat一下或者火眼的文件里面导出来查看​所以是5分钟5.请分析检材3计算服务器内数据库备份文件计算其SHA256哈希值取后6位字母大写。【答案格式6DEF38】一开始直接在火眼里面搜索文件backup发现不对后来看其他的师傅的wp发现竟然在计算机镜像的E盘里面这个跨度貌似有点大啊​6.请分析检材3MySQL 数据库 root 用户的登录密码是什么【答案格式根据实际值填写】知识点/usr/share/nginx/html是许多 Nginx 环境的默认网站根目录也就是 Nginx 对外提供网页文件的位置。于是进行翻找发现了配置文件config.php由于nginx本身没有“数据库配置”你在这个目录下发现的数据库账号、密码等信息通常属于Nginx 托管的 Web 应用程序而不是 Nginx 自己的配置​7.请分析检材3外挂网站所对外开放的端口号是多少【答案格式1234】而etc/nginx是Linux 中Nginx 的标准配置目录# For more information on configuration, see: # * Official English Documentation: http://nginx.org/en/docs/ # * Official Russian Documentation: http://nginx.org/ru/docs/ user nginx; worker_processes auto; error_log /var/log/nginx/error.log; pid /run/nginx.pid; # Load dynamic modules. See /usr/share/doc/nginx/README.dynamic. include /usr/share/nginx/modules/*.conf; events { worker_connections 1024; } http { log_format main $remote_addr - $remote_user [$time_local] $request $status $body_bytes_sent $http_referer $http_user_agent $http_x_forwarded_for; access_log /var/log/nginx/access.log main; sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_timeout 65; types_hash_max_size 4096; include /etc/nginx/mime.types; default_type application/octet-stream; # Load modular configuration files from the /etc/nginx/conf.d directory. include /etc/nginx/conf.d/*.conf; server { listen 8081; listen [::]:8081; server_name shop.aakkjx.top; root /usr/share/nginx/html; include /etc/nginx/default.d/*.conf; location / { index index.php index.html index.htm; } location ~ \.php$ { root /usr/share/nginx/html; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } error_page 404 /404.html; location /404.html { } error_page 500 502 503 504 /50x.html; location /50x.html { } } # # server { # listen 443 ssl http2; # listen [::]:443 ssl http2; # server_name _; # root /usr/share/nginx/html; # # ssl_certificate /etc/pki/nginx/server.crt; # ssl_certificate_key /etc/pki/nginx/private/server.key; # ssl_session_cache shared:SSL:1m; # ssl_session_timeout 10m; # ssl_ciphers HIGH:!aNULL:!MD5; # ssl_prefer_server_ciphers on; # # include /etc/nginx/default.d/*.conf; # # error_page 404 /404.html; # location /40x.html { } # # error_page 500 502 503 504 /50x.html; # location /50x.html { } # } }netstat -antp列出当前系统所有的 TCP 网络连接详情​8.请分析检材3嫌疑人为上传大型恶意插件修改文件上传限制其最大上传限制是多少【答案格式100M】问AI说是文件上传限制的关键词是client_max_body_size直接爆搜关键词就能发现​此外还可以通过查看嫌疑人用vim编辑过哪些内容/root/.viminfo​除了有之前network-check还有就是php.ini9.请分析检材3嫌疑人设置数据库定时自动备份并上传至境外请问该境外服务器的IP地址是多少【答案格式8.8.8.8]】首先是定时任务自然想到关键词crontab -l发现了自动备份脚本​查看一下这个自动备份脚本​10.请分析检材3嫌疑人登录后台的目录路径是什么【答案格式/abc/abc】一般就是要找login.php这个文件搜索下发现又两个目录下都有这个文件​仔细比对一下发现static/login.php和admin/login.php仔细进去阅读两者的代码发现static/login.php里面更加提到了“后台登录的”字样所以答案是/fk/static11.请分析检材3访问后台登录页面次数最多的 IP 地址是什么【答案格式192.168.1.1】可以直接在火眼里面暴力搜索​也可以将数据库faka_backup.sql重新构建一下首先是用小皮面板连接一下本地数据库然后​​12.请分析检材3网站后台管理员的明文密码为多少【答案格式根据实际值填写】首先是在备份数据库里面的配置表格里面找到了密码信息94bd34e3010a6468f312eafe359e9d926fc16bba62c0b6cf646d041a5c281bf2此外在之前的login.php里面发现pwd是加盐的2025baofu!代码审计一下发现最后的密码会经过如下加密SHA-256用户输入的密码 2025baofu!标准的加盐sha256($pass.$salt)用hashcat暴力破解一下最终破解出来时abc12345613.请分析检材3该网站支付接口所对接的第三方接入商名称是什么【答案格式根据实际值填写】依旧还是不会仿起来网站只能去看别的师傅怎么做了在shua_config表里面找到了跟支付相关的信息代号说是要去查看/static/set.php这个文件然后发现大量的混淆接下来就是解码于是让AI写反混淆脚本最后得到无忧支付14.请分析检材3网站的创建时间是什么时候【答案格式2026/5/20】同样是查看shua_config表格2018/12/1415.请分析检材3网站Git配置信息中找出作者姓名是什么【答案格式根据实际值填写】网站的git信息这里是查看一下历史命令记录筛选出和git命令有关的然后顺藤摸瓜找一下现在的位置发现了git.txt文件查看一下里面的内容[core] repositoryformatversion 0 filemode true bare false logallrefupdates true [user] name 576d6868626d6454595735665532566a email zhangsandev.internal给AI分析了一下说是先16进制然后base64解密答案是ZhangSan_Sec16.请分析检材3分析该网站 2025 年 6 月 1 日至 12 月 31 日的全部订单其中状态为 已完成 的订单总成交金额为多少【答案格式1234】首先是需要找到对应的状态码——已完成在shua_config这个表里面看到了貌似对应的关系于是能勉强对应上0 待处理1 已完成2 处理中3 有异常所以我们要筛选status1的值在shua_orders这个表里面于是构造sql查询语句SELECT SUM(money) AS 总成交金额 FROM 你的表名 WHERE status 1 AND addtime 2025-06-01 00:00:00 AND addtime 2025-12-31 23:59:59;17.请分析检材3分析 2025 年全年的订单数据计算下单金额总计最高的那一天的总金额是多少【答案格式1234】同样的是在订单这个表里面进行查询SELECT DATE(addtime) AS 销售日期, SUM(money) AS 当日总金额 FROM 你的表名 GROUP BY DATE(addtime) ORDER BY 当日总金额 DESC LIMIT 1;18.请分析检材3统计全部订单数据购买数量累计最高的应用名称是什么【答案格式根据实际值填写】首先我们还是在订单里面进行基础的查询不过这里我们主要过滤的是tid字段因为在shua_tools表里面我们得知tid是商品的名称于是我们只需要找到哪个tid是购买数量最多的SELECT tid, COUNT(*) AS 出现次数 FROM shua_orders GROUP BY tid ORDER BY 出现次数 DESC LIMIT 1;找到之后再去shua_tools对应比较一下19.请分析检材3统计全部订单数据用户累计购买总额最高的用户账号是哪个【答案格式admin】首先是要找useridSELECT userid, SUM(money) AS 总消费金额 FROM shua_orders WHERE status 1 GROUP BY userid ORDER BY 总消费金额 DESC LIMIT 1;然后发现在shua_site里面有个类似的id字段不过在这里是zid20.请分析检材3嫌疑人创建的拥有 FILE 与 SUPER 权限的隐蔽 MySQL 账户其用户名是什么【答案格式admin】这里又回到了服务器自己的mysql了首先是先用navicat连接一下先用ssh打通一下主机ifconfig用户名和密码经过火眼之后默认是root/123456然后再连接一下数据库数据库密码在第六题的得到的配置信息中可以得出然后连接上了之后直接在navicat里面搜索关键词file或者super查看具体在哪个表里面提到在工具的数据库查找里面然后选择结构就发现了File_priv这个权限信息是在user表里面SELECT User, Host, File_priv, Super_priv FROM mysql.user WHERE File_priv Y AND Super_priv Y;最后写的查询命令得到了结果排除root

相关新闻

2026/7/13 13:42:22

Transformer架构优化:9种核心方案解决大模型挑战

1. Transformer架构的核心挑战与优化必要性在AI大模型领域,Transformer架构已经成为事实上的标准基础架构。从GPT-3到最新的多模态大模型,其核心都建立在Transformer的self-attention机制之上。然而随着模型规模指数级增长(从最初的1.17亿参数…

2026/7/13 13:42:22

直流有刷电机驱动技术:TC78H651AFNG与TM4C129LNCZAD方案解析

1. 下一代直流有刷驱动器的技术背景与市场需求直流有刷电机(Brushed DC Motor)作为最传统的电机类型之一,凭借其结构简单、控制方便、成本低廉等优势,在工业自动化、消费电子、汽车电子等领域仍然占据重要地位。但随着现代应用对能…

2026/7/13 14:42:26

虚幻引擎粒子系统实战指南:从级联编辑器到性能优化

1. 项目概述:从零开始理解虚幻引擎的粒子系统如果你刚接触虚幻引擎,看到“粒子系统”这个词可能会觉得它既神秘又强大。在游戏和实时渲染的世界里,粒子系统是创造那些令人惊叹的视觉效果的基石——无论是角色施法时指尖跃动的魔法火花、枪口喷…

2026/7/13 14:42:26

ArcGIS Pro 3D场景构建与外部模型集成指南

1. 为什么需要将外部模型集成到ArcGIS Pro中?在三维地理信息系统中,真实世界往往需要精细的模型与地理环境相结合。比如城市规划中,设计师可能需要将建筑模型(.fbx格式)放置到真实地形上;考古复原时&#x…

2026/7/13 14:42:26

LongCat-2.0革命性突破:美团1.6万亿参数MoE大模型完全指南

LongCat-2.0革命性突破:美团1.6万亿参数MoE大模型完全指南 在人工智能领域,大模型技术正在以前所未有的速度发展。今天,我们要深入探讨美团推出的LongCat-2.0——这款拥有1.6万亿参数的MoE(Mixture of Experts)大模型…

2026/7/13 14:42:26

一、LLM:从统计模型到智能基座的演进与核心能力解析

1. 从统计模型到智能基座:LLM的技术演进史如果把语言模型比作汽车工业的发展历程,那么早期的N-gram模型就像是福特T型车,而现代的大语言模型则堪比特斯拉电动跑车。这个进化过程经历了几个关键的技术跃迁:1990年代流行的N-gram模型…

2026/7/13 14:42:26

LongCat-2.0未来路线图:下一代超大规模语言模型的技术展望

LongCat-2.0未来路线图:下一代超大规模语言模型的技术展望 LongCat-2.0作为美团推出的超大规模混合专家(MoE)语言模型,凭借1.6万亿总参数和480亿激活参数的架构优势,已在长上下文处理、代码生成和智能体任务中展现出强…

2026/7/13 14:37:26

Wand-Enhancer:WeMod高级功能本地化增强的终极解决方案

Wand-Enhancer:WeMod高级功能本地化增强的终极解决方案 【免费下载链接】Wand-Enhancer Advanced UX and interoperability extension for Wand (WeMod) app 项目地址: https://gitcode.com/GitHub_Trending/we/Wand-Enhancer 在游戏辅助工具领域&#xff0c…

2026/7/13 6:38:38

3步解锁音乐自由:ncmdumpGUI终极NCM文件解密转换指南

3步解锁音乐自由:ncmdumpGUI终极NCM文件解密转换指南 【免费下载链接】ncmdumpGUI C#版本网易云音乐ncm文件格式转换,Windows图形界面版本 项目地址: https://gitcode.com/gh_mirrors/nc/ncmdumpGUI 你是否曾在网易云音乐下载了心爱的歌曲&#…

2026/7/13 14:26:14

CANoe 19 SP3 配置 GB/T 27930-2023 A类系统:3步搭建BMS仿真测试环境

CANoe 19 SP3 配置 GB/T 27930-2023 A类系统:3步搭建BMS仿真测试环境随着新能源汽车行业的快速发展,充电通信协议的标准化和测试验证变得尤为重要。GB/T 27930-2023作为中国智能充电协议的最新版本,对充电机与电动汽车之间的通信提出了更严格…

2026/7/12 0:01:29

3步搞定RTL8852BE驱动:从零开始配置Wi-Fi 6网卡

3步搞定RTL8852BE驱动:从零开始配置Wi-Fi 6网卡 【免费下载链接】rtl8852be Realtek Linux WLAN Driver for RTL8852BE 项目地址: https://gitcode.com/gh_mirrors/rt/rtl8852be 还在为Linux系统无法识别RTL8852BE Wi-Fi 6网卡而烦恼吗?&#x1f…

2026/7/13 0:00:24

广氟 PTFE 高速线缆膜 —— 高端线缆绝缘材料新选择

PTFE高速线缆膜的基本概念与特点 PTFE 高速线缆膜是以聚四氟乙烯树脂为原料,经膨化双向拉伸制成的多孔绝缘薄膜,作为高速高频通信线缆的核心介质材料,内部形成均匀连通的微孔结构,兼具极低介电常数与介电损耗,能有效降…

2026/7/13 11:33:05

3个高效策略:快速掌握Axure中文界面配置

3个高效策略:快速掌握Axure中文界面配置 【免费下载链接】axure-cn Chinese language file for Axure RP. Axure RP 简体中文语言包。支持 Axure 11、10、9。不定期更新。 项目地址: https://gitcode.com/gh_mirrors/ax/axure-cn 还在为Axure RP的英文界面感…