2024第一届Solar杯应急响应挑战赛-WriteUp

发表于 更新于 分类于 Waline: 本文字数: 1.9k 阅读时长 ≈ 7 分钟

前言

CTF是数据库4-5、逆向破解-1、综合应急-2未解出,然后理论是Windows的应急响应,就拿到了300,这个成绩和排名真的是非常的可惜。最终成绩是49名拿到了一个优秀奖。
成绩-1
成绩-2
成绩-3

签到

本题作为签到题,请给出邮服发件顺序。 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Received: from mail.da4s8gag.com ([140.143.207.229])  
by newxmmxszc6-1.qq.com (NewMX) with SMTP id 6010A8AD  
for ; Thu, 17 Oct 2024 11:24:01 +0800  
X-QQ-mid: xmmxszc6-1t1729135441tm9qrjq3k  
X-QQ-XMRINFO: NgToQqU5s31XQ+vYT/V7+uk=  
Authentication-Results: mx.qq.com; spf=none smtp.mailfrom=;  
dkim=none; dmarc=none(permerror) header.from=solar.sec  
Received: from mail.solar.sec (VM-20-3-centos [127.0.0.1])  
by mail.da4s8gag.com (Postfix) with ESMTP id 2EF0A60264  
for ; Thu, 17 Oct 2024 11:24:01 +0800 (CST)  
Date: Thu, 17 Oct 2024 11:24:01 +0800  
To: hellosolartest@qq.com  
From: 鍏嬪競缃戜俊  
Subject:xxxxxxxxxx  
Message-Id: <20241017112401.032146@mail.solar.sec>  
X-Mailer: QQMail 2.x

把邮箱地址挨个拿出来即可
flag{mail.solar.sec|mail.da4s8gag.com|newxmmxszc6-1.qq.com}

日志流量-1

题目文件:tomcat-wireshark.zip/web
新手运维小王的Geoserver遭到了攻击:
黑客疑似删除了webshell后门,小王找到了可能是攻击痕迹的文件但不一定是正确的,请帮他排查一下。
flag格式 flag{xxxx}
流量分析中发现b.jsp的流量最大,而且都是加密内容,这里直接反编译一下发现flag,反编译这里需要反编译的路径是在apache-tomcat-9.0.96\work\Catalina\localhost\ROOT\org\apache\jsp,根目录给的那俩是不能用的。
日志流量-1-1
日志流量-1-2

日志流量-2

题目文件:tomcat-wireshark.zip/web
新手运维小王的Geoserver遭到了攻击:
小王拿到了当时被入侵时的流量,其中一个IP有访问webshell的流量,已提取部分放在了两个pcapng中了。请帮他解密该流量。
flag格式 flag{xxxx}
这段代码很清晰,是AES的加密,没指定加密模式应该是ECB,然后key是a2550eeab0724a69

1
String code="ZiFsXmEqZ3tBN2I0X1g5ektfMnY4Tl93TDVxNH0="; String xc="a2550eeab0724a69"; class X extends ClassLoader{public X(ClassLoader z){super(z);}public Class Q(byte[] cb){return super.defineClass(cb, 0, cb.length);} }public byte[] x(byte[] s,boolean m){ try{javax.crypto.Cipher c=javax.crypto.Cipher.getInstance("AES");c.init(m?1:2,new javax.crypto.spec.SecretKeySpec(xc.getBytes(),"AES"));return c.doFinal(s); }catch (Exception e){return null; }}

挨个分析到流6
日志流量-2-1
他执行的对应命令是
日志流量-2-2
拿到的返回内容是
日志流量-2-3

日志流量-3

题目文件:tomcat-wireshark.zip/web
新手运维小王的Geoserver遭到了攻击:
小王拿到了当时被入侵时的流量,黑客疑似通过webshell上传了文件,请看看里面是什么。
flag格式 flag{xxxx}
分析完2紧接着有个很大的流量,解密发现
日志流量-3-1
他上传了一个pdf,我这里直接保存pdf然后改后缀打开拿到flag
日志流量-3-2

内存取证-1

题目文件:SERVER-2008-20241220-162057
请找到rdp连接的跳板地址
flag格式 flag{1.1.1.1}
RDP是远程桌面,端口一般都是3389,直接分析网络即可。

1
2
3
4
5
6
E:\TEMP>volatility -f SERVER-2008-20241220-162057.raw --profile Win7SP1x64 netscan |findstr 3389
Volatility Foundation Volatility Framework 2.6
0x7e300dc0         TCPv4    0.0.0.0:3389                   0.0.0.0:0            LISTENING        1908     svchost.exe
0x7e303360         TCPv4    0.0.0.0:3389                   0.0.0.0:0            LISTENING        1908     svchost.exe
0x7e303360         TCPv6    :::3389                        :::0                 LISTENING        1908     svchost.exe
0x7decc010         TCPv4    192.168.60.150:3389            192.168.60.220:34121 ESTABLISHED      1908     svchost.exe

flag{192.168.60.220}

内存取证-2

题目文件:SERVER-2008-20241220-162057
请找到攻击者下载黑客工具的IP地址
flag格式 flag{1.1.1.1}
我是通过网络的形式,通过下面命令拿到下面可疑信息

1
2
3
4
5
6
7
8
9
E:\TEMP>volatility -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 netscan
...
0x7de65cf0         TCPv4    -:49263                        155.94.204.67:85     CLOSED           504
0x7de89540         TCPv4    192.168.60.150:445             192.168.60.169:46087 CLOSED           4        System
0x7dec4480         TCPv4    192.168.60.150:49261           34.117.188.166:443   ESTABLISHED      2068     firefox.exe
0x7decc010         TCPv4    192.168.60.150:3389            192.168.60.220:34121 ESTABLISHED      1908     svchost.exe
0x7ded2ba0         TCPv4    192.168.60.150:49185           34.107.243.93:443    ESTABLISHED      2068     firefox.exe
0x7df56cf0         TCPv4    192.168.60.150:49257           192.168.60.169:4444  ESTABLISHED      828      spoolsv.exe
0x7e6ef400         TCPv4    -:0                            168.148.77.26:0      CLOSED           48       N

我去查询第一个的时候发现他是一个每过的ip,直接尝试提交,拿到flag
内存取证-2-1
flag{155.94.204.67}

内存取证-3

题目文件:SERVER-2008-20241220-162057
攻击者获取的“FusionManager节点操作系统帐户(业务帐户)”的密码是什么
flag格式 flag{xxxx}
内存取证-3-1
在这里发现一个pass.txt,判断大概率在这里。这里直接导出

1
2
3
4
5
6
7
E:\TEMP>volatility -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 filescan |findstr pass.txt
Volatility Foundation Volatility Framework 2.6
0x000000007e4cedd0     16      0 R--rw- \Device\HarddiskVolume2\Users\Administrator\Desktop\pass.txt
0x000000007e4ec900      2      0 RW-rw- \Device\HarddiskVolume2\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\pass.txt.lnk
E:\TEMP>volatility -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007e4cedd0 -D ./
Volatility Foundation Volatility Framework 2.6
DataSectionObject 0x7e4cedd0   None   \Device\HarddiskVolume2\Users\Administrator\Desktop\pass.txt

内存出征-3-2
flag{GalaxManager_2012}

内存取证-4

题目文件:SERVER-2008-20241220-162057
请找到攻击者创建的用户
flag格式 flag{xxxx}
直接列出所有用户,我尝试Testuser发现错误,Administrator和Guest是系统自带的,ASP.NET似乎是微软的一个后端框架,尝试这个成功。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
E:\TEMP>volatility -f SERVER-2008-20241220-162057.raw --profile Win7SP1x64  printkey -K "SAM\Domains\Account\Users\Names"
Volatility Foundation Volatility Framework 2.6
Legend: (S) = Stable   (V) = Volatile

----------------------------
Registry: \SystemRoot\System32\Config\SAM
Key name: Names (S)
Last updated: 2024-12-20 16:14:42 UTC+0000

Subkeys:
  (S) Administrator
  (S) ASP.NET
  (S) Guest
  (S) Testuser

Values:
REG_DWORD                     : (S) 0

内存取证-5

题目文件:SERVER-2008-20241220-162057
请找到攻击者利用跳板rdp登录的时间
flag格式 flag{2024/01/01 00:00:00}

1
2
3
4
E:\TEMP>volatility -f SERVER-2008-20241220-162057.raw --profile Win7SP1x64 pslist|findstr rdp
Volatility Foundation Volatility Framework 2.6
0xfffffa801b046b30 rdpclip.exe            3896   1908      8      153      2      0 2024-12-20 16:15:34 UTC+0000
E:\TEMP>

一直提交这个一直错误,一想他是UTC,尝试提交国内时区的即可成功
flag{2024/12/21 00:15:34}

内存取证-6

题目文件:SERVER-2008-20241220-162057
请找到攻击者创建的用户的密码哈希值
flag格式 flag{XXXX}
根据取证4直接看hash

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
E:\TEMP>volatility -f SERVER-2008-20241220-162057.raw --profile Win7SP1x64  printkey -K "SAM\Domains\Account\Users\Names"
Volatility Foundation Volatility Framework 2.6
Legend: (S) = Stable   (V) = Volatile

----------------------------
Registry: \SystemRoot\System32\Config\SAM
Key name: Names (S)
Last updated: 2024-12-20 16:14:42 UTC+0000

Subkeys:
  (S) Administrator
  (S) ASP.NET
  (S) Guest
  (S) Testuser

Values:
REG_DWORD                     : (S) 0

E:\TEMP>volatility -f SERVER-2008-20241220-162057.raw --profile Win7SP1x64  hashdump
Volatility Foundation Volatility Framework 2.6
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Testuser:1000:aad3b435b51404eeaad3b435b51404ee:4bdcecfc666b002ea5aab1df8f08a9a2:::
ASP.NET:1001:aad3b435b51404eeaad3b435b51404ee:5ffe97489cbec1e08d0c6339ec39416d:::

flag{5ffe97489cbec1e08d0c6339ec39416d}

数据库-1

题目附件:mssql、mssql题-备份数据库
请找到攻击者创建隐藏账户的时间
flag格式 如 flag{2024/01/01 00:00:00}
虚机没提供密码,可以参考这篇文章来直接进入虚机
通过动态取证的方式,进入虚拟机,在登陆的时候发现有个test$用户可以选择,一看就是个后门用户,这里通过命令拿到flag
数据库-1-1
flag{2024/12/16 15:24:21}

数据库-2

题目附件:mssql、mssql题-备份数据库
请找到恶意文件的名称
flag格式 如 flag{.}
数据库-2-1
一眼矿
flag{xmrig.exe}

数据库-3

题目附件:mssql、mssql题-备份数据库
请找到恶意文件的外联地址
flag格式 如 flag{1.1.1.1}
火绒剑直接梭
数据库-3-1
flag{203.107.45.167}