solar应急响应-7月

solar应急响应-7月

【任务1】VOL_EASY

某企业服务器近日遭受隐秘入侵。安全团队通过日志溯源发现,黑客利用Web应用漏洞植入恶意后门,根据溯源的信息配合警方逮捕了黑客,安全团队已经紧急保存了黑客电脑的内存转储文件,请你开始取证以便固定证据。

黑客上传的**一句话木马**密码是多少?

核心特征是:

  1. 存在特定函数(如evalassert)与接收参数(即密码,如pass
  2. 通常会在 Web 服务进程(如httpd.exenginx.exew3wp.exe)的内存中留下痕迹
  3. 可能关联到 Web 目录下的恶意文件(如shell.php

首先看到附件给的.vmem文件以及题目名vol,想到用Volatility工具进行内存取证分析

复制代码
vol -f vol_easy.vmem windows.pslist        #查看进程

在文件中搜索是否有.php文件类似的webshell

复制代码
vol -f vol_easy.vmem windows.filescan | grep -i "\.php"

发现有个ezshell.php.txt,很可能就是一句话木马所在的文件,那么接下来就是提取文件,发现文件保存在了file.0x7ddf2280.0xfa801af79b30.DataSectionObject.ezshell.php.txt.dat,这个.dat文件夹中

复制代码
vol -f vol_easy.vmem windows.dumpfiles --physaddr 0x7ddf2280  #使用 dumpfiles 插件提取文件

那么查看文件夹并查看文件

得到了一句话木马的密码 solar

【任务2】VOL_EASY

黑客使用的木马连接工具叫什么(比如xx.exe)

一句话木马通常运行在 Web 服务进程中,那么就要查看系统当前正在运行的进程相关信息

可以发现两个比较敏感的进程 antswordiexplore 蚁剑和IE浏览器,显然连接工具就是蚁剑,Antsword.exe

【任务3】VOL_EASY

黑客使用的木马连接工具的位置在哪里(比如C:\xxxx\xx.exe)

复制代码
vol -f vol_easy.vmem windows.pslist | grep "AntSword.exe"   #查看AntSword.exe
复制代码
vol -f vol_easy.vmem windows.cmdline --pid 1716          #使用 cmdline 插件查看命令行参数

得到了AntSword.exe的文件位置 C:\Tools\AntSword-Loader-v4.0.3-win32-x64\AntSword.exe

【任务4】VOL_EASY

黑客获取到的FLAG是什么?

直接在文件中搜索flag,看下会不会有

复制代码
vol -f vol_easy.vmem windows.filescan | grep -i "flag"

发现有flag.txt的文件,那么查看

复制代码
vol -f vol_easy.vmem windows.dumpfiles --physaddr 0x7da684a0
#提取文件
 ls -a *.dat    #查看文件夹
 cat file.0x7da684a0.0xfa801b23e7f0.DataSectionObject.flag.txt.dat      #查看信息

得到 flag{ok!get_webshell_is_good_idea~}

【任务5】VOL_EASY

黑客入侵的网站地址是多少(只需要http://xxxxx/)

这个题当时看的时候是没有思路的,然后搜了一些vol3的命令尝试,但总说语法错误,事后看大佬的wp,发现大多用的是vol2.6,那么我尝试用2.6发现可行

使用YARA扫描技术搜索所有包含 'shell.php' 字符串的内存位置

复制代码
./vol2 -f ../vol_easy.vmem --profile=Win7SP1x64 yarascan -Y "shell.php"

发现在iexplore.exe进程下有个网址

http://192.168.186.140/

【任务6】VOL_EASY

黑客入侵时,使用的系统用户名是什么

这题当时也有点迷,Windows用户账户信息存储在注册表的SAM hive中,那么就要找到SAM的虚拟地址,来提取用户列表

复制代码
./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 hivelist    #找SAM虚拟地址
复制代码
./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 printkey -o 0xfffff8a0000a8010 -K "SAM\Domains\Account\Users\Names"         #提取注册表

-o 0xfffff8a0000a8010
-o:指定注册表 hive 的虚拟地址

0xfffff8a0000a8010:SAM 注册表 hive 的内存地址

-K "SAM\Domains\Account\Users\Names"
-K:指定要读取的注册表路径

"SAM\Domains\Account\Users\Names":SAM数据库中存储用户账户名的注册表路径

发现注册表中有两个用户

看了其他大佬的wp ,还可以直接使用hashdump或者mimikatz

复制代码
 ./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 hashdump

然后只有两个用户,进行尝试发现是 Administrator,可能是因为权限大小的原因

【任务7】VOL_EASY

黑客创建隐藏账户的密码是多少?

隐藏用户是solar$,攻击的信息可能在蚁剑内存中

蚁剑的工作方式

  1. AntSword 是一个webshell管理客户端

  2. 它会保存所有连接的webshell信息

  3. 内存中会残留连接历史、命令记录、文件操作等

可能包含的关键信息

  1. webshell连接地址 - http://攻击者的服务器/shell.php

  2. 攻击者服务器IP和端口

  3. 所有执行的命令(文件上传、下载、执行等)

  4. 保存的会话和配置信息

  5. 加密密钥和认证信息

    ./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 yarascan -Y "solar$" -C 100

yarascan

  • 插件名称:YARA内存扫描插件,用于在内存中搜索特定模式

-Y "solar$"

  • -Y - YARA扫描规则参数
  • "solar$" - 要搜索的字符串,$表示字符串结尾,即精确匹配"solar"

-C 100

  • -C - 上下文行数参数
  • 100 - 显示匹配项周围的100行上下文内容

得到账户密码 solar2025

【任务8】VOL_EASY

黑客首次操作靶机的关键程序是什么?

这个题也是没想出来,赛后看别人的wp才慢慢的理解,主要是用了pstree

pstree 的主要作用:

  1. 揭示进程关系
    父进程-子进程关系:显示进程的启动来源

​ 进程依赖关系:了解进程间的调用关系

  1. 识别异常进程
    可疑的父进程:如浏览器启动cmd.exe

​ 异常的进程树:不正常的进程嵌套关系

  1. 追踪攻击链

  2. 时间线分析

    进程启动时间:确定攻击时间序列

​ 进程持续时间:分析攻击持续时间

  1. 取证价值:
    确定攻击入口点(哪个进程最先被利用)

​ 追踪横向移动(进程如何传播)

​ 识别持久化机制(常驻进程)

​ 发现隐藏进程(不正常的进程关系)

复制代码
./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 pstree   #查看进程树

查看进程树发现了lsass.exe进程

为什么lsass.exe是关键进程呢

从 lsass.exe 中可以获取:

  1. 所有本地用户密码哈希

  2. 域缓存凭据(如果加入域)

  3. 自动登录密码

  4. 服务账户密码

  5. Kerberos认证材料

攻击者利用方式

  1. 转储lsass内存(使用mimikatz、procdump等工具)

  2. 提取哈希和凭据

  3. 密码破解或哈希传递攻击

  4. 横向移动和权限提升

除了看到进程树中的lsass.exe,我在AntSword.exe的内存中也看到了与之相关的dump_lass.bat

看到了一句话,dump_lass实际上是lsass,也就是dumplass程序的内存转储文件,dump_lass = dump + lsass,那么这里也可以发现lsass.exe

【任务9】VOL_EASY

该关键程序的PID是多少?

也是在进程树上看,pid = 452,但是我输入答案的时候不对

那我换个方法,使用YARA扫描技术搜索所有包含 lsass.exe 字符串的内存位置,然后发现了PID是456

复制代码
./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 yarascan -Y "lsass.exe" -C 100

【任务10】VOL_EASY

该关键程序的内存文件保存到了什么地方?

直接在包含 字符串的内存位置找,然后就发现了, C:\phpstudy_pro\WWW\lsass.dmp

应急大师1

查找隐藏用户,那么可以在本地用户和组中查看

复制代码
lusrmgr.msc

发现了隐藏用户 solar$

应急大师2

查找黑客ip,黑客是远程入侵的电脑,那么可以打开事件查找器,查看日志,打开安全,筛选事件ID为4648(远程登入),通过查看发现了可疑ip 192.168.186.139

应急大师3

phpstudy_pro ------集成的PHP开发环境套件

安装PHPStudy_Pro后,通常会获得以下核心组件:

  1. Web服务器
    • Apache: 最流行的Web服务器之一。
    • Nginx: 以高性能著称的Web服务器和反向代理服务器。
    • 特点 : PHPStudy允许你在这两者之间一键切换,非常方便。
  2. PHP解释器
    • 软件集成了多个版本的PHP(例如从古老的PHP 5.2到最新的PHP 8.x)。
    • 你可以随时切换PHP的版本,这对于测试网站在不同PHP环境下的兼容性极其有用。
  3. 数据库
    • MySQLMariaDB: 用于存储网站数据的关系型数据库。
    • 通常会提供一个图形化管理工具,如 phpMyAdmin,让你可以通过浏览器轻松管理数据库。
  4. 其他工具
    • FTP服务器: 用于文件传输。
    • Redis / Memcached: 用于缓存,提升网站性能。
    • 网站管理功能: 图形化界面创建网站、设置域名、管理SSL证书等。

那么一句话木马通常和web服务器相关,那么我么就可以查看phpstudy_pro的目录,然后在www目录下的upload文件夹里发现了.php文件

直接打开打不开,那么复制在桌面重命名为.txt文件,得到一句话木马

solar2025

应急大师4

查找黑客创建隐藏用户的TargetSid(目标账户安全ID),那么也是在事件查看器中查找,筛选事件ID4720(创建用户)

得到 S-1-5-21-3845547894-970975367-1760185533-1000

应急大师5

2025/7/23 17:05:45

应急大师6

黑客将这个隐藏用户先后加入了哪几个用户组?

这个一开始没有思路,后面想想会不会加入用户组也有对应的事件ID,然后就搜索得到事件4732-新用户加入管理员组,筛出来了两个事件估摸着对应了先后两个用户组

查看信息,得到 Users-Administrators

然后看其他大佬的wp发现也可以直接查看组的属性,来查看组中的成员

应急大师7

远程登入,那么直接就是第二题

192.168.186.139:49197

相关推荐
繁花与尘埃6 小时前
Java流程控制04——if选择结构(本文为个人学习笔记,内容整理自哔哩哔哩UP主【遇见狂神说】的公开课程。 > 所有知识点归属原作者,仅作非商业用途分享)
java·笔记·学习
安畅检测_齐鲁物联网测试中心6 小时前
信息化安全性测试中漏洞扫描的定义与核心目的
安全·web安全·漏洞扫描·cma·cnas·第三方检测机构·信息安全性测试
PetterHillWater7 小时前
APK反编译解析案例
安全
TGC达成共识7 小时前
年轻教师开学焦虑破解:从心出发,重构健康工作生活新秩序
人工智能·科技·其他·安全·重构·生活·风景
_Kayo_7 小时前
React 学习笔记4 Diffing/脚手架
笔记·学习·react.js
Fortinet_CHINA7 小时前
案例精述 | 防护即智能 Fortinet赋能英科全栈安全重构实践
安全·重构·php
小关会打代码7 小时前
深度学习之第七课卷积神经网络 (CNN)调整学习率
深度学习·学习·cnn
amwydadw7 小时前
学习commonJS和esModuleJS的代码记录上传到git
学习
爱喝白开水a7 小时前
从零开始学无监督学习:图像混合与标签平滑技术详解,收藏不走丢
人工智能·深度学习·学习·ai·大模型·编程·ai大模型