简介

请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本

小张的公司最近遭到了钓鱼邮件攻击，多名员工的终端被控制做为跳板攻击了内网系统，请对钓鱼邮件样本和内网被攻陷的系统进行溯源分析，请根据小张备份的数据样本分析

请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本 请勿在本机运行恶意文件样本！！！！！

1、 请分析获取黑客发送钓鱼邮件时使用的IP，flag格式： flag{11.22.33.44}

在钓鱼邮件的eml文件中搜索from，最后一个from就是黑客发送钓鱼邮件时使用的IP地址：121.204.224.15。

flag{121.204.224.15}  

2、请分析获取黑客钓鱼邮件中使用的木马程序的控制端IP，flag格式：flag{11.22.33.44}

把这个eml文件丢到安恒云沙箱进行分析（https://sandbox.dbappsecurity.com.cn/）

得到木马程序的控制端IP

flag{107.16.111.57}

3、黑客在被控服务器上创建了webshell，请分析获取webshell的文件名，请使用完整文件格式，flag格式：flag{/var/www/html/shell.php}

使用D盾工具，在网站根目录(/var/www/html)进行搜索

发现一个php文件很可疑，查看一下

发现这就是我们要找的php文件

flag{/var/www/html/admin/ebak/ReData.php}

4、flag4: 黑客在被控服务器上创建了内网代理隐蔽通信隧道，请分析获取该隧道程序的文件名，请使用完整文件路径，flag格式：flag{/opt/apache2/shell}

我们可以去临时目录查看一下配置文件进行分析，在这里也就是“\var\tmp\proc\”目录下的文件“my.conf”；

配置项分析
[common]:
这个部分表明配置文件的通用设置。server_addr=178.102.115.17:52329:
服务器地址和端口号。这个配置指向外部服务器（IP 地址 178.102.115.17，端口 52329），可能是黑客用来控制或接管服务器的地址。conn_type=tcp:
连接类型为 TCP。vkey=6bHW7m4SMvy:
验证密钥或访问密钥，用于验证连接请求。auto_reconnection=true:
自动重连设置为 true，表示断线后会自动重连。max_conn=1000:
最大连接数为 1000，表示最多可以建立 1000 个连接。flow_limit=1000 和 rate_limit=1000:
流量限制和速率限制，均为 1000。这些限制可能用于控制带宽使用。crypt=true 和 compress=true:
数据加密和压缩设置为 true，表示传输的数据会被加密和压缩，以提高安全性和效率。# username and password of http and socks5 proxy:
注释部分，提到 HTTP 和 SOCKS5 代理的用户名和密码配置（已被注释掉）。

经过分析，可以猜测这个mysql为代理文件

flag{/var/tmp/proc/mysql}

flag

flag{121.204.224.15}
flag{107.16.111.57}
flag{/var/www/html/admin/ebak/ReData.php}
flag{/var/tmp/proc/mysql}

好小子，离成功又近 一步！！！