当前位置: 首页 > java >正文

2025年Solar应急响应公益月赛-7月笔记ing

java 2025/7/30 7:18:49

应急响应

身为颜狗的我是真心觉得lovelymem的ui写得~~~~

【任务1】应急大师

题目描述:请提交隐藏用户的名称?

print打印注册表,或者开启环境是就有

【任务4】应急大师

题目描述:请提交黑客创建隐藏用户的TargetSid(目标账户安全ID)?

wmic useraccount get name,sid,statue看到Sid

【任务5】应急大师

题目描述:请提交黑客创建隐藏账户的事件(格式为 年/月/日 时:分:秒)?

安全日志看4720

任务6】应急大师

题目描述:请提交黑客创建隐藏账户的事件(格式为 年/月/日 时:分:秒)?

一个个看查看用户

【任务2】应急大师

题目描述:请提交黑客的IP地址?

网络链接看到IP

任务7】应急大师

题目描述:黑客通过远程桌面成功登陆系统管理员账号的网络地址及端口号?提交格式为 IP:PORT 如 127.0.0.1:41110

查看网络链接看到IP

【任务3】应急大师

题目描述:请提交黑客的一句话木马密码?

网站根目录下的/public/uploads目录看到木马文件


公交车系统攻击事件排查

思而听公交系统被黑客攻击,黑客通过web进行了攻击并获取了数据,然后获取了其中一位驾校师傅在FTP服务中的私密文件,其后黑客找到了任意文件上传漏洞进行了GETshell,控制了主机权限并植入了挖矿网页挖矿病毒,接下来你需要逐步排查。
注意:
流量中的21端口对应2121、80端口对应8090。
root的SSH密码为bussec123,第二个地址是SSH地址。
请勿在此提交FLAG,请前往具体任务提交,如【任务1】公交车系统攻击事件排查 提交。

【任务1】公交车系统攻击事件排查

分析环境内的中间件日志,找到第一个漏洞(黑客获取数据的漏洞),然后通过分析日志、流量,通过脚本解出黑客获取的用户密码数据,提交获取的前两个用户名,提交格式:flag{zhangsan-wangli}

明显的sqlmap特

按username往后翻发现排序了,这就说明hack在查表(查bus_system.bus_drivers)了

在src/includes看到数据库用户和密码

链上去查下数据库

flag{sunyue-chenhao}

【任务2】公交车系统攻击事件排查

黑客通过获取的用户名密码,利用密码复用技术,爆破了FTP服务,分析流量以后找到开放的FTP端口,并找到黑客登录成功后获取的私密文件,提交其文件中内容,提交格式:flag{xxx}

home目录下的wangqing目录中存在ftp文件

【任务3】公交车系统攻击事件排查

可恶的黑客找到了任意文件上传点,你需要分析日志和流量以及web开放的程序找到黑客上传的文件,提交木马使用的密码,提交格式:flag{password}

在/public/upload目录下有一个类似“冰蝎”的马(应该是哥斯拉),cat看到密码

【任务4】公交车系统攻击事件排查

分析流量,黑客植入了一个web挖矿木马,这个木马现实情况下会在用户访问后消耗用户的资源进行挖矿(本环境已做无害化处理),提交黑客上传这个文件时的初始名称,提交格式:flag{xxx.xxx}

看了大佬得博客说“根据之前的哥斯拉马解密”,看根目录下的流量包解密流量数据

【任务5】公交车系统攻击事件排查

分析流量并上机排查,黑客植入的网页挖矿木马所使用的矿池地址是什么,提交矿池地址(排查完毕后可以尝试删除它)提交格式:flag{xxxxxxx.xxxx.xxx:xxxx}

看大佬的博客说的是“web挖矿木马,依赖用户浏览器前端,只能是js喽,直接看主页,发现混淆js"

转成ascill码得gulf.moneroocean.stream:10128

取证专项

【任务1】VOL_EASY

题目描述:黑客上传的一句话木马密码是多少?

 内存也可以iehistory看到编辑了一个php文件

查看得到木马的连接密码

【任务2】VOL_EASY

题目描述

黑客使用的木马连接工具叫什么(比如xx.exe)?(仅首字母大写)

查看进程看到蚁剑

【任务3】VOL_EASY

题目描述

黑客使用的木马连接工具的位置在哪里(比如C:\xxxx\xx.exe) ?

Cmdline看到路径

【任务4】VOL_EASY

题目描述

黑客获取到的FLAG是什么?

editbox看到flag

【任务5】VOL_EASY

题目描述

黑客入侵的网站地址是多少(只需要http://xxxxx/)?

iehistory看到访问网站的url

【任务6】VOL_EASY

题目描述

黑客入侵时,使用的系统用户名是什么?

系统只有连个用户Administros和Guest(solar是攻击者建的隐藏用户),Gues权限不够,所以

黑客入侵时,使用的系统用户名是Administros

或者看日志

【任务7】VOL_EASY

题目描述:黑客创建隐藏账户的密码是多少?

攻击信息位于蚁剑内存中

【任务8】VOL_EASY

题目描述:黑客首次操作靶机的关键程序是什么?

【任务9】VOL_EASY

题目描述:该关键程序的PID是多少?

【任务10】VOL_EASY

题目描述:该关键程序的内存文件保存到了什么地

yarascan        Scan process or kernel memory with Yara signature

http://www.xdnf.cn/news/16593.html

相关文章:

  • 正运动控制器Zbasic回零详细教程(不带Z信号)
  • 【Linux知识】Linux Shell 脚本中的 `set -ex` 命令深度解析
  • SQL排查、分析海量数据以及锁机制
  • Fast Video generation with sliding tile attention
  • 2-verilog-基础语法
  • flask使用celery通过数据库定时
  • 【Linux我做主】探秘进程状态
  • Java中的有界队列和无界队列详解
  • CMake 目标文件后缀
  • react 项目怎么打断点
  • 大规模矩阵构建与高级算法应用
  • 【Linux篇】补充:消息队列和systemV信号量
  • 为什么分类任务偏爱交叉熵?MSE 为何折戟?
  • 【C++】判断语句
  • 网络数据传输与NAT技术的工作原理
  • 智能体安全与可信AI:防护机制与伦理考量
  • 代码随想录Day32:动态规划(斐波那契数、爬楼梯、使用最小花费爬楼梯)
  • 代码随想录算法训练营第三十三天
  • 力扣 之 最小覆盖子串(变长滑动窗口,越短越好)
  • 历史版本的vscode下载地址
  • 数据处理工具是做什么的?常见数据处理方法介绍
  • C++ 哈希算法、贪心算法
  • Android15广播ANR的源码流程分析
  • Linux系统Centos7 安装mysql5.7教程 和mysql的简单指令
  • rhel9.1配置本地源并设置开机自动挂载(适用于物理光驱的场景)
  • 在 Windows 系统 下直接使用了 Linux/macOS 的环境变量设置语法 PLATFORM=android
  • 图像处理第三篇:初级篇(续)—— 照明的理论知识
  • 问题大全【1】
  • Ansible提权sudo后执行报错
  • STM32——寄存器映射