2025年Solar应急响应公益月赛-7月笔记ing

应急响应

身为颜狗的我是真心觉得lovelymem的ui写得~~~~

【任务1】应急大师

题目描述：请提交隐藏用户的名称？

print打印注册表，或者开启环境是就有

【任务4】应急大师

题目描述：请提交黑客创建隐藏用户的TargetSid（目标账户安全ID）？

wmic useraccount get name,sid,statue看到Sid

【任务5】应急大师

题目描述:请提交黑客创建隐藏账户的事件（格式为 年/月/日 时:分:秒）？

安全日志看4720

【 任务6】应急大师

题目描述：请提交黑客创建隐藏账户的事件（格式为 年/月/日 时:分:秒）？

一个个看查看用户

【任务2】应急大师

题目描述：请提交黑客的IP地址？

网络链接看到IP

【 任务7】应急大师

题目描述：黑客通过远程桌面成功登陆系统管理员账号的网络地址及端口号？提交格式为 IP:PORT 如 127.0.0.1:41110

查看网络链接看到IP

【任务3】应急大师

题目描述：请提交黑客的一句话木马密码？

网站根目录下的/public/uploads目录看到木马文件

公交车系统攻击事件排查

思而听公交系统被黑客攻击，黑客通过web进行了攻击并获取了数据，然后获取了其中一位驾校师傅在FTP服务中的私密文件，其后黑客找到了任意文件上传漏洞进行了GETshell，控制了主机权限并植入了挖矿网页挖矿病毒，接下来你需要逐步排查。
注意：
流量中的21端口对应2121、80端口对应8090。
root的SSH密码为bussec123，第二个地址是SSH地址。
请勿在此提交FLAG，请前往具体任务提交，如【任务1】公交车系统攻击事件排查 提交。

【任务1】公交车系统攻击事件排查

分析环境内的中间件日志，找到第一个漏洞(黑客获取数据的漏洞)，然后通过分析日志、流量，通过脚本解出黑客获取的用户密码数据，提交获取的前两个用户名，提交格式：flag{zhangsan-wangli}

明显的sqlmap特

按username往后翻发现排序了，这就说明hack在查表（查bus_system.bus_drivers）了

在src/includes看到数据库用户和密码

链上去查下数据库

flag{sunyue-chenhao}

【任务2】公交车系统攻击事件排查

黑客通过获取的用户名密码，利用密码复用技术，爆破了FTP服务，分析流量以后找到开放的FTP端口，并找到黑客登录成功后获取的私密文件，提交其文件中内容，提交格式：flag{xxx}

home目录下的wangqing目录中存在ftp文件

【任务3】公交车系统攻击事件排查

可恶的黑客找到了任意文件上传点，你需要分析日志和流量以及web开放的程序找到黑客上传的文件，提交木马使用的密码，提交格式：flag{password}

在/public/upload目录下有一个类似"冰蝎"的马（应该是哥斯拉），cat看到密码

【任务4】公交车系统攻击事件排查

分析流量，黑客植入了一个web挖矿木马，这个木马现实情况下会在用户访问后消耗用户的资源进行挖矿(本环境已做无害化处理)，提交黑客上传这个文件时的初始名称，提交格式：flag{xxx.xxx}

看了大佬得博客说"根据之前的哥斯拉马解密"，看根目录下的流量包解密流量数据

【任务5】公交车系统攻击事件排查

分析流量并上机排查，黑客植入的网页挖矿木马所使用的矿池地址是什么，提交矿池地址(排查完毕后可以尝试删除它)提交格式：flag{xxxxxxx.xxxx.xxx:xxxx}

看大佬的博客说的是"web挖矿木马，依赖用户浏览器前端，只能是js喽，直接看主页，发现混淆js"

转成ascill码得gulf.moneroocean.stream:10128

取证专项

【任务1】VOL_EASY

题目描述：黑客上传的一句话木马密码是多少？

内存也可以iehistory看到编辑了一个php文件

查看得到木马的连接密码

【任务2】VOL_EASY

题目描述

黑客使用的木马连接工具叫什么（比如xx.exe）？(仅首字母大写)

查看进程看到蚁剑

【任务3】VOL_EASY

题目描述

黑客使用的木马连接工具的位置在哪里（比如C:\xxxx\xx.exe） ？

Cmdline看到路径

【任务4】VOL_EASY

题目描述

黑客获取到的FLAG是什么？

editbox看到flag

【任务5】VOL_EASY

题目描述

黑客入侵的网站地址是多少（只需要http://xxxxx/）？

iehistory看到访问网站的url

【任务6】VOL_EASY

题目描述

黑客入侵时，使用的系统用户名是什么？

系统只有连个用户Administros和Guest(solar是攻击者建的隐藏用户)，Gues权限不够，所以

黑客入侵时，使用的系统用户名是Administros

或者看日志

【任务7】VOL_EASY

题目描述：黑客创建隐藏账户的密码是多少？

攻击信息位于蚁剑内存中

【任务8】VOL_EASY

题目描述:黑客首次操作靶机的关键程序是什么？

【任务9】VOL_EASY

题目描述:该关键程序的PID是多少？

【任务10】VOL_EASY

题目描述:该关键程序的内存文件保存到了什么地

yarascan Scan process or kernel memory with Yara signature