文章总结： 文档记录针对Ubuntu勒索病毒攻击的应急响应过程，攻击者利用CVE-2017-12615漏洞上传webshell并执行加密脚本，通过分析日志和系统痕迹完成攻击画像绘制，使用获取的密钥成功解密被加密的网页文件并恢复正常服务，同时找到三个隐藏flag。 综合评分： 85 文章分类： 应急响应,漏洞分析,恶意软件,WEB安全,实战经验

ubuntu勒索病毒应急 – vulntarget-n

原创

GSDK GSDK

GSDK安全团队

2026年4月3日 20:30 上海

一、要求

在面对勒索病毒这样的网络威胁时，我们不能被动等待，而要积极应对。我们需要了解攻击的原理和过程，熟练掌握应急响应和取证分析的技术，以便在面对真实的威胁时能够迅速有效地应对。vulntarget-n是一个模拟全球化勒索病毒高发环境下的应急响应和取证分析案例，其模拟了一个正常运行的业务服务被勒索病毒攻击的情景：● 客户在阿里云部署的业务环境● 今天突然发现首页变成了一个勒索的界面，要求用户支付赎金以解密数据。● 客户发现其中部分重要文件被加密为.vulntarget结尾。随即客户要你进行应急响应并取证分析，因为是阿里云的ECS，客户将阿里云ECS实例镜像导出到本地，要求你在明天分析出结果。
具体要求如下：● 分析攻击事件是如何发生的，请给出攻击画像● 恢复原来的index.jsp页面，恢复正常的web服务● 找到隐藏在其中的3个flag
已知服务器账号密码：账号：root 密码：Vulntarget@123

二、环境配置

靶场地址：https://github.com/crow821/vulntarget

下载完后是一个raw文件，要下载一个qemu转换为”.vmdk”格式

下载好后安装，添加环境变量

然后在raw目录下运行命令转换为镜像格式

qemu-img convert -f raw raw文件名 -O vmdk 保存的vmdk文件名
qemu-img convert -f raw vulntarget.raw -O vmdk xxx.vmdk

转换完后新建虚拟机，然后选择磁盘的时候选择这个磁盘

建好后打开虚拟机，输入账户密码即可开始打靶

三、开始应急

打开靶场，发现网页被篡改了

查看登录情况

#

分析网站日志

看看access日志

发现大量123.123.123.123的访问记录，而且有在扫描

#

发现在命令执行，执行的是vulntarget.jsp

#

发现在这上传的vulntarget.jsp

应该是利用的是CVE-2017-12615

#

发现flag：flag{Welcome_t0_join_Us}

这里应该是加密脚本，但是在在后续的日志中显示删掉了，系统中找了一下也没找到

#

加密的网页

这也有一个flag，但是是加密的

#

分析history

发现flag：flag{vulntarget_very_G00d}

疑似在运行加密脚本

发现密钥

#

定时任务无发现相关异常

#

恢复数据

这个时候就差解密恢复原来的数据了,看看有哪些文件被加密的

再看看刚刚的两个密钥，应该是用这个解密的

给数据给豆包，要他写一个解密脚本

#

运行一下，拿到加密的flag：flag{https://github.com/crow821/vulntarget}

改写一下脚本，这个脚本太长了输出不来。成功解密出原来的index.jsp

再恢复一下404.jsp.vulntarget，确认是webshell

#

重新上传一下，成功恢复原来页面

至此打靶结束

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：GSDK安全团队 GSDK GSDK《ubuntu勒索病毒应急 – vulntarget-n》