2025年Solar应急响应6月赛 恶意进程与连接分析

B01.1-恶意进程与连接分析

此服务器被植入了一个后门,请提交后门文件的进程名称。(注意大小写)

默认用户密码:qsnctf

  1. 首先登录进入服务器,排查恶意进程。首先查看目前所有存在的进程,检索可疑名称以及不合理的内存使用

    tasklist

  1. 存在很多进程,那么为了精确定位,还需要查看用于外网连接异常开放端口

    netstat -ano

  1. 其中只有唯一一个存在外部连接行为的,PID为 1716,外部连接地址为 10.66.66.66:8080

回到前面的进程枚举排查,由此确定了后门文件名称:WinHelper.exe

B01.2-恶意进程与连接分析

此服务器被植入了一个后门,请提交后门文件链接的IP地址及端口号。如:8.8.8.8:22

  1. 那么由第一题我们分析外部连接行为的时候,就已经确定了后门文件链接的 IP 地址和端口号

10.66.66.66:8080

B01.3-恶意进程与连接分析

此服务器被植入了一个后门,请提交后门文件的文件地址的小写MD5。

  1. 已经知道了后门的PID,那就使用命令去查找后门文件的路径

    wmic process where "ProcessId=1716" get ExecutablePath

由此确定后门文件的路径 C:\Program Files (x86)\Internet Explorer\WinHelper.exe

加密就能得到 flag:8ae371220481af5322f17c4003a8e0ce

B01.4-恶意进程与连接分析

题目描述:此服务器被植入了一个后门,请提交后门文件的大写MD5值。

使用Windows内置的certutil工具进行 MD5 加密

复制代码
cd C:\Program Files (x86)\Internet Explorer\WinHelper.exe
certutil -hashfile "WinHelper.exe"  MD5

82C94C28E2AC71179C57D42CE388D1CC

相关推荐
米小虾7 小时前
AI Agent 安全实战指南:当智能体开始"不听话",开发者该如何应对?
人工智能·安全·agent
tntxia20 小时前
网络安全漏洞修复(一)
安全
泯泷2 天前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
泯泷2 天前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
Flynt7 天前
npm v12 来了:allowScripts 默认关闭,我的项目差点跑不起来
安全·npm·node.js
冬奇Lab11 天前
Skill 系列(02):Skill 安全风险——三类攻击面的实战测试
人工智能·安全·开源
Aphasia31115 天前
VPN 与内网穿透
安全
Mr_愚人派16 天前
当"Claude"不再是 Claude:一次第三方 API 代理引发的 AI 身份伪造排查实录
人工智能·安全
DaLi Yao16 天前
【无标题】
人工智能·安全
Alsn8616 天前
等待学习-学习目录:Docker 容器安全攻防
学习·安全·docker