solar应急响应-7月
【任务1】VOL_EASY
某企业服务器近日遭受隐秘入侵。安全团队通过日志溯源发现,黑客利用Web应用漏洞植入恶意后门,根据溯源的信息配合警方逮捕了黑客,安全团队已经紧急保存了黑客电脑的内存转储文件,请你开始取证以便固定证据。
黑客上传的**一句话木马
**密码是多少?
核心特征是:
- 存在特定函数(如
eval
、assert
)与接收参数(即密码,如pass
) - 通常会在 Web 服务进程(如
httpd.exe
、nginx.exe
、w3wp.exe
)的内存中留下痕迹 - 可能关联到 Web 目录下的恶意文件(如
shell.php
)
首先看到附件给的.vmem文件以及题目名vol,想到用Volatility
工具进行内存取证分析
vol -f vol_easy.vmem windows.pslist #查看进程
在文件中搜索是否有.php文件类似的webshell
vol -f vol_easy.vmem windows.filescan | grep -i "\.php"

发现有个ezshell.php.txt,很可能就是一句话木马所在的文件,那么接下来就是提取文件,发现文件保存在了file.0x7ddf2280.0xfa801af79b30.DataSectionObject.ezshell.php.txt.dat,这个.dat文件夹中
vol -f vol_easy.vmem windows.dumpfiles --physaddr 0x7ddf2280 #使用 dumpfiles 插件提取文件

那么查看文件夹并查看文件

得到了一句话木马的密码 solar
【任务2】VOL_EASY
黑客使用的木马连接工具叫什么(比如xx.exe)
一句话木马通常运行在 Web 服务进程中,那么就要查看系统当前正在运行的进程相关信息

可以发现两个比较敏感的进程 antsword
和iexplore
蚁剑和IE浏览器,显然连接工具就是蚁剑,Antsword.exe
【任务3】VOL_EASY
黑客使用的木马连接工具的位置在哪里(比如C:\xxxx\xx.exe)
vol -f vol_easy.vmem windows.pslist | grep "AntSword.exe" #查看AntSword.exe

vol -f vol_easy.vmem windows.cmdline --pid 1716 #使用 cmdline 插件查看命令行参数

得到了AntSword.exe的文件位置 C:\Tools\AntSword-Loader-v4.0.3-win32-x64\AntSword.exe
【任务4】VOL_EASY
黑客获取到的FLAG是什么?
直接在文件中搜索flag,看下会不会有
vol -f vol_easy.vmem windows.filescan | grep -i "flag"
发现有flag.txt的文件,那么查看

vol -f vol_easy.vmem windows.dumpfiles --physaddr 0x7da684a0
#提取文件
ls -a *.dat #查看文件夹
cat file.0x7da684a0.0xfa801b23e7f0.DataSectionObject.flag.txt.dat #查看信息

得到 flag{ok!get_webshell_is_good_idea~}
【任务5】VOL_EASY
黑客入侵的网站地址是多少(只需要http://xxxxx/)
这个题当时看的时候是没有思路的,然后搜了一些vol3的命令尝试,但总说语法错误,事后看大佬的wp,发现大多用的是vol2.6,那么我尝试用2.6发现可行
使用YARA扫描技术搜索所有包含 'shell.php' 字符串的内存位置
./vol2 -f ../vol_easy.vmem --profile=Win7SP1x64 yarascan -Y "shell.php"
发现在iexplore.exe进程下有个网址

http://192.168.186.140/
【任务6】VOL_EASY
黑客入侵时,使用的系统用户名是什么
这题当时也有点迷,Windows用户账户信息存储在注册表的SAM hive中,那么就要找到SAM的虚拟地址,来提取用户列表
./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 hivelist #找SAM虚拟地址

./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 printkey -o 0xfffff8a0000a8010 -K "SAM\Domains\Account\Users\Names" #提取注册表
-o 0xfffff8a0000a8010
-o
:指定注册表 hive 的虚拟地址
0xfffff8a0000a8010
:SAM 注册表 hive 的内存地址
-K "SAM\Domains\Account\Users\Names"
-K
:指定要读取的注册表路径
"SAM\Domains\Account\Users\Names"
:SAM数据库中存储用户账户名的注册表路径
发现注册表中有两个用户
看了其他大佬的wp ,还可以直接使用hashdump或者mimikatz
./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 hashdump

然后只有两个用户,进行尝试发现是 Administrator
,可能是因为权限大小的原因
【任务7】VOL_EASY
黑客创建隐藏账户的密码是多少?
隐藏用户是solar$,攻击的信息可能在蚁剑内存中
蚁剑的工作方式
-
AntSword 是一个webshell管理客户端
-
它会保存所有连接的webshell信息
-
内存中会残留连接历史、命令记录、文件操作等
可能包含的关键信息
-
webshell连接地址 - http://攻击者的服务器/shell.php
-
攻击者服务器IP和端口
-
所有执行的命令(文件上传、下载、执行等)
-
保存的会话和配置信息
-
加密密钥和认证信息
./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 yarascan -Y "solar$" -C 100
yarascan
- 插件名称:YARA内存扫描插件,用于在内存中搜索特定模式
-Y "solar$"
-Y
- YARA扫描规则参数"solar$"
- 要搜索的字符串,$
表示字符串结尾,即精确匹配"solar"
-C 100
-C
- 上下文行数参数100
- 显示匹配项周围的100行上下文内容

得到账户密码 solar2025
【任务8】VOL_EASY
黑客首次操作靶机的关键程序是什么?
这个题也是没想出来,赛后看别人的wp才慢慢的理解,主要是用了pstree
pstree 的主要作用:
- 揭示进程关系
父进程-子进程关系:显示进程的启动来源
进程依赖关系:了解进程间的调用关系
- 识别异常进程
可疑的父进程:如浏览器启动cmd.exe
异常的进程树:不正常的进程嵌套关系
-
追踪攻击链
-
时间线分析
进程启动时间:确定攻击时间序列
进程持续时间:分析攻击持续时间
- 取证价值:
确定攻击入口点(哪个进程最先被利用)
追踪横向移动(进程如何传播)
识别持久化机制(常驻进程)
发现隐藏进程(不正常的进程关系)
./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 pstree #查看进程树
查看进程树发现了lsass.exe进程

为什么lsass.exe是关键进程呢
从 lsass.exe 中可以获取:
-
所有本地用户密码哈希
-
域缓存凭据(如果加入域)
-
自动登录密码
-
服务账户密码
-
Kerberos认证材料
攻击者利用方式
:
-
转储lsass内存(使用mimikatz、procdump等工具)
-
提取哈希和凭据
-
密码破解或哈希传递攻击
-
横向移动和权限提升
除了看到进程树中的lsass.exe,我在AntSword.exe的内存中也看到了与之相关的dump_lass.bat
看到了一句话,dump_lass实际上是lsass,也就是dump
了lass
程序的内存转储文件,dump_lass
= dump
+ lsass
,那么这里也可以发现lsass.exe

【任务9】VOL_EASY
该关键程序的PID是多少?
也是在进程树上看,pid = 452,但是我输入答案的时候不对
那我换个方法,使用YARA扫描技术搜索所有包含 lsass.exe 字符串的内存位置,然后发现了PID是456
./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 yarascan -Y "lsass.exe" -C 100

【任务10】VOL_EASY
该关键程序的内存文件保存到了什么地方?
直接在包含 字符串的内存位置找,然后就发现了, C:\phpstudy_pro\WWW\lsass.dmp

应急大师1
查找隐藏用户,那么可以在本地用户和组中查看
lusrmgr.msc

发现了隐藏用户 solar$
应急大师2
查找黑客ip,黑客是远程入侵的电脑,那么可以打开事件查找器,查看日志,打开安全,筛选事件ID为4648(远程登入),通过查看发现了可疑ip 192.168.186.139

应急大师3
phpstudy_pro ------集成的PHP开发环境套件
安装PHPStudy_Pro后,通常会获得以下核心组件:
- Web服务器 :
- Apache: 最流行的Web服务器之一。
- Nginx: 以高性能著称的Web服务器和反向代理服务器。
- 特点 : PHPStudy允许你在这两者之间一键切换,非常方便。
- PHP解释器 :
- 软件集成了多个版本的PHP(例如从古老的PHP 5.2到最新的PHP 8.x)。
- 你可以随时切换PHP的版本,这对于测试网站在不同PHP环境下的兼容性极其有用。
- 数据库 :
- MySQL 或 MariaDB: 用于存储网站数据的关系型数据库。
- 通常会提供一个图形化管理工具,如 phpMyAdmin,让你可以通过浏览器轻松管理数据库。
- 其他工具 :
- FTP服务器: 用于文件传输。
- Redis / Memcached: 用于缓存,提升网站性能。
- 网站管理功能: 图形化界面创建网站、设置域名、管理SSL证书等。
那么一句话木马通常和web服务器相关,那么我么就可以查看phpstudy_pro的目录,然后在www目录下的upload文件夹里发现了.php文件

直接打开打不开,那么复制在桌面重命名为.txt文件,得到一句话木马

solar2025
应急大师4
查找黑客创建隐藏用户的TargetSid(目标账户安全ID),那么也是在事件查看器中查找,筛选事件ID4720(创建用户)

得到 S-1-5-21-3845547894-970975367-1760185533-1000
应急大师5

2025/7/23 17:05:45
应急大师6
黑客将这个隐藏用户先后加入了哪几个用户组?
这个一开始没有思路,后面想想会不会加入用户组也有对应的事件ID,然后就搜索得到事件4732-新用户加入管理员组,筛出来了两个事件估摸着对应了先后两个用户组

查看信息,得到 Users-Administrators
然后看其他大佬的wp发现也可以直接查看组的属性,来查看组中的成员
应急大师7
远程登入,那么直接就是第二题

192.168.186.139:49197