2025-Solar应急响应公益月赛-7月
应急大师
题目描述
这是一台被黑客入侵的服务器,安全团队有进行一些基础溯源。目前服务器已经断网处理,请你继续协助安全团队进行溯源分析,将整个证据链补充完整。
【任务1】应急大师
请提交隐藏用户的名称?
直接查看本地用户和组,发现隐藏用户 solar$
【任务2】应急大师
请提交黑客的IP地址?
查看 phpstudy 下的 nginx 日志,找到远程 IP 192.168.186.139,即黑客 IP
【任务3】应急大师
请提交黑客的一句话木马密码?
phpstudy 的 web 目录下的文件上传目录下找到两个马,密码是 solar2025
【任务4】应急大师
请提交黑客创建隐藏用户的TargetSid(目标账户安全ID)?
使用命令查看所有用户的 SID,命令如下:
1 | wmic useraccount get name,sid |
【任务5】应急大师
请提交黑客创建隐藏账户的事件(格式为 年/月/日 时:分:秒)?
正常来说应该是在事件查看器中找创建新用户的事件,我们这里直接 net user solar$ 查看 solar$ 用户的信息,发现设置密码时间,一般来说用户和密码是一起设置的,提交该时间即可
【任务6】应急大师
黑客将这个隐藏用户先后加入了哪几个用户组?提交格式为 第一个用户组-第二个用户组,如student-teacher
还是上一题的命令,可以看到该隐藏用户在 Users 组和 Administrators 组里
1 | Users-Administrators |
【任务7】应急大师
黑客通过远程桌面成功登陆系统管理员账号的网络地址及端口号?提交格式为 IP:PORT 如 127.0.0.1:41110
打开事件查看器,筛选事件ID 4648,查看 7.23 当天的事件,可以翻到登陆的 IP 和 PORT
1 | flag{192.168.186.139:49197} |
公交车系统攻击事件排查
题目描述
思而听公交系统被黑客攻击,黑客通过web进行了攻击并获取了数据,然后获取了其中一位驾校师傅在FTP服务中的私密文件,其后黑客找到了任意文件上传漏洞进行了GETshell,控制了主机权限并植入了挖矿网页挖矿病毒,接下来你需要逐步排查。
【任务1】公交车系统攻击事件排查
分析环境内的中间件日志,找到第一个漏洞(黑客获取数据的漏洞),然后通过分析日志、流量,通过脚本解出黑客获取的用户密码数据,提交获取的前两个用户名,提交格式:flag{zhangsan-wangli}
直接看 apache 日志 /var/log/apache2/access.log,发现大量 SQL 盲注日志,分析日志:
首先查看一下数据库结构,bus_drivers 表中才有账号密码
写脚本处理一下日志数据,提取 query 参数数据并先 url 解码再 base64 解码
然后手动筛选出注入得到前两个账号密码的盲注 payload,每个位置最后一个就是该位置的字符,人工分析即可得到两个账号 sunyue-chenhao
1 | import re |
【任务2】公交车系统攻击事件排查
黑客通过获取的用户名密码,利用密码复用技术,爆破了FTP服务,分析流量以后找到开放的FTP端口,并找到黑客登录成功后获取的私密文件,提交其文件中内容,提交格式:flag{xxx}
/home/wangqiang/ftp 目录下有一个 sensitive_credentials.txt 文件,里面的内容就是私密文件(一开始我还以为是密码,还在流量里翻。。。
1 | flag{INTERNAL_FTP_ADMIN_PASSWORD=FtpP@ssw0rd_For_Admin_Backup_2025} |
【任务3】公交车系统攻击事件排查
可恶的黑客找到了任意文件上传点,你需要分析日志和流量以及web开放的程序找到黑客上传的文件,提交木马使用的密码,提交格式:flag{password}
web 目录下 uploads 目录里有一个哥斯拉马,密码为 woaiwojia
【任务4】公交车系统攻击事件排查
分析流量,黑客植入了一个web挖矿木马,这个木马现实情况下会在用户访问后消耗用户的资源进行挖矿(本环境已做无害化处理),提交黑客上传这个文件时的初始名称,提交格式:flag{xxx.xxx}
用 CTF-NetA 工具解密一下哥斯拉马,发现黑客执行了将 map.php 替换 index.php 的操作,而 index.php 后续可以看到是挖矿页面,所以黑客上传这个文件时的初始名称就是 map.php
【任务5】公交车系统攻击事件排查
分析流量并上机排查,黑客植入的网页挖矿木马所使用的矿池地址是什么,提交矿池地址(排查完毕后可以尝试删除它)提交格式:flag{xxxxxxx.xxxx.xxx:xxxx}
查看 index.php,可以看到一段混淆的 js 脚本,扔给 AI 分析一下得出这是加密货币挖矿脚本,矿池地址是:
1 | gulf.moneroocean.stream:10128 |
VOL_EASY
题目描述
某企业服务器近日遭受隐秘入侵。安全团队通过日志溯源发现,黑客利用Web应用漏洞植入恶意后门,根据溯源的信息配合警方逮捕了黑客,安全团队已经紧急保存了黑客电脑的内存转储文件,请你开始取证以便固定证据。请根据题目文件,找出下面10条证据让罪犯服软吧!
【任务1】VOL_EASY
黑客上传的一句话木马密码是多少?
用 lovelymem 加载 vol_easy.vmem 内存镜像,使用 NTFS 文件时间线功能查看文件,发现 ezshell.php,打开就是一句话木马,密码是 solar
【任务2】VOL_EASY
黑客使用的木马连接工具叫什么(比如xx.exe)?(仅首字母大写)
上面 ezshell.php 同级目录里还有个蚁剑,flag 就是 Antsword.exe
【任务3】VOL_EASY
黑客使用的木马连接工具的位置在哪里(比如C:\xxxx\xx.exe)?
点击进程信息,搜 Antsword 就能看到蚁剑的绝对位置,即:
1 | C:\Tools\AntSword-Loader-v4.0.3-win32-x64\AntSword.exe |
【任务4】VOL_EASY
黑客获取到的FLAG是什么?
同 任务1 那个目录,里面的flag.txt打开就是 flag
1 | flag{ok!get_webshell_is_good_idea~} |
【任务5】VOL_EASY
黑客入侵的网站地址是多少(只需要http://xxxxx/)?
本题我是跟应急响应的题直接一起做了,第一个应急响应刚好是受害者主机,该镜像则是黑客镜像,可以从受害者主机的日志中找到入侵的网站地址
可以看到黑客的 ip 是 192.168.186.139,受害者的 ip 是 192.168.186.140,所以网站地址为:
1 | http://192.168.186.140/ |
【任务6】VOL_EASY
黑客入侵时,使用的系统用户名是什么?
查看系统信息,只有一个 Administrator 用户名,提交即可
【任务7】VOL_EASY
黑客创建隐藏账户的密码是多少?
这题我直接用应急响应那台受害者主机做的,首先将 mimikatz 上传到受害者主机,抓取 solar$ 用户的 hash,使用命令如下:
1 | privilege::debug // 获得debug权限 |
拿到 hash之后使用 hash 在线解密工具解,即可得到用户密码 solar2025
后面三题没看出来,期待一下 WP
