2025年Solar应急响应公益月赛-7月笔记ing

应急响应

身为颜狗的我是真心觉得lovelymem的ui写得~~~~

【任务1】应急大师

题目描述:请提交隐藏用户的名称?

print打印注册表,或者开启环境是就有

【任务4】应急大师

题目描述:请提交黑客创建隐藏用户的TargetSid(目标账户安全ID)?

wmic useraccount get name,sid,statue看到Sid

【任务5】应急大师

题目描述:请提交黑客创建隐藏账户的事件(格式为 年/月/日 时:分:秒)?

安全日志看4720

任务6】应急大师

题目描述:请提交黑客创建隐藏账户的事件(格式为 年/月/日 时:分:秒)?

一个个看查看用户

【任务2】应急大师

题目描述:请提交黑客的IP地址?

网络链接看到IP

任务7】应急大师

题目描述:黑客通过远程桌面成功登陆系统管理员账号的网络地址及端口号?提交格式为 IP:PORT 如 127.0.0.1:41110

查看网络链接看到IP

【任务3】应急大师

题目描述:请提交黑客的一句话木马密码?

网站根目录下的/public/uploads目录看到木马文件

公交车系统攻击事件排查

思而听公交系统被黑客攻击,黑客通过web进行了攻击并获取了数据,然后获取了其中一位驾校师傅在FTP服务中的私密文件,其后黑客找到了任意文件上传漏洞进行了GETshell,控制了主机权限并植入了挖矿网页挖矿病毒,接下来你需要逐步排查。
注意:
流量中的21端口对应2121、80端口对应8090。
root的SSH密码为bussec123,第二个地址是SSH地址。
请勿在此提交FLAG,请前往具体任务提交,如【任务1】公交车系统攻击事件排查 提交。

【任务1】公交车系统攻击事件排查

分析环境内的中间件日志,找到第一个漏洞(黑客获取数据的漏洞),然后通过分析日志、流量,通过脚本解出黑客获取的用户密码数据,提交获取的前两个用户名,提交格式:flag{zhangsan-wangli}

明显的sqlmap特

按username往后翻发现排序了,这就说明hack在查表(查bus_system.bus_drivers)了

在src/includes看到数据库用户和密码

链上去查下数据库

flag{sunyue-chenhao}

【任务2】公交车系统攻击事件排查

黑客通过获取的用户名密码,利用密码复用技术,爆破了FTP服务,分析流量以后找到开放的FTP端口,并找到黑客登录成功后获取的私密文件,提交其文件中内容,提交格式:flag{xxx}

home目录下的wangqing目录中存在ftp文件

【任务3】公交车系统攻击事件排查

可恶的黑客找到了任意文件上传点,你需要分析日志和流量以及web开放的程序找到黑客上传的文件,提交木马使用的密码,提交格式:flag{password}

在/public/upload目录下有一个类似"冰蝎"的马(应该是哥斯拉),cat看到密码

【任务4】公交车系统攻击事件排查

分析流量,黑客植入了一个web挖矿木马,这个木马现实情况下会在用户访问后消耗用户的资源进行挖矿(本环境已做无害化处理),提交黑客上传这个文件时的初始名称,提交格式:flag{xxx.xxx}

看了大佬得博客说"根据之前的哥斯拉马解密",看根目录下的流量包解密流量数据

【任务5】公交车系统攻击事件排查

分析流量并上机排查,黑客植入的网页挖矿木马所使用的矿池地址是什么,提交矿池地址(排查完毕后可以尝试删除它)提交格式:flag{xxxxxxx.xxxx.xxx:xxxx}

看大佬的博客说的是"web挖矿木马,依赖用户浏览器前端,只能是js喽,直接看主页,发现混淆js"

转成ascill码得gulf.moneroocean.stream:10128

取证专项

【任务1】VOL_EASY

题目描述:黑客上传的一句话木马密码是多少?

内存也可以iehistory看到编辑了一个php文件

查看得到木马的连接密码

【任务2】VOL_EASY

题目描述

黑客使用的木马连接工具叫什么(比如xx.exe)?(仅首字母大写)

查看进程看到蚁剑

【任务3】VOL_EASY

题目描述

黑客使用的木马连接工具的位置在哪里(比如C:\xxxx\xx.exe) ?

Cmdline看到路径

【任务4】VOL_EASY

题目描述

黑客获取到的FLAG是什么?

editbox看到flag

【任务5】VOL_EASY

题目描述

黑客入侵的网站地址是多少(只需要http://xxxxx/)?

iehistory看到访问网站的url

【任务6】VOL_EASY

题目描述

黑客入侵时,使用的系统用户名是什么?

系统只有连个用户Administros和Guest(solar是攻击者建的隐藏用户),Gues权限不够,所以

黑客入侵时,使用的系统用户名是Administros

或者看日志

【任务7】VOL_EASY

题目描述:黑客创建隐藏账户的密码是多少?

攻击信息位于蚁剑内存中

【任务8】VOL_EASY

题目描述:黑客首次操作靶机的关键程序是什么?

【任务9】VOL_EASY

题目描述:该关键程序的PID是多少?

【任务10】VOL_EASY

题目描述:该关键程序的内存文件保存到了什么地

yarascan Scan process or kernel memory with Yara signature

相关推荐
智者知已应修善业17 小时前
【51单片机计时器1中断的60秒数码管倒计时】2023-1-23
c语言·经验分享·笔记·嵌入式硬件·算法·51单片机
聪明的笨猪猪18 小时前
Java 集合 “Map(1)”面试清单(含超通俗生活案例与深度理解)
java·经验分享·笔记·面试
张书名18 小时前
《强化学习数学原理》学习笔记3——贝尔曼方程核心概念梳理
笔记·学习·算法
范纹杉想快点毕业19 小时前
ZYNQ7045芯片中UART实现RS422通信详解,50000字解析,C语言,嵌入式开发,软件开发
c语言·笔记·stm32·单片机·嵌入式硬件·mcu·fpga开发
71-319 小时前
C语言速成秘籍——跳转语句(goto)
c语言·笔记·学习·其他
huangql52020 小时前
基于前端+Node.js 的 Markdown 笔记 PDF 导出系统完整实战
前端·笔记·node.js
ljt272496066121 小时前
Compose笔记(五十一)--rememberTextMeasurer
android·笔记·android jetpack
能不能别报错1 天前
K8s学习笔记(十) Deployment 副本控制器
笔记·学习·kubernetes
RaLi和夕1 天前
嵌入式学习笔记4.STM32中断系统及外部中断EXTI
笔记·stm32·单片机·学习
yjx233321 天前
《应用密码学》——基本协议(笔记)
笔记·密码学