第一届Solar杯应急响应挑战赛部分wp

1、题目描述

题目文件：tomcat-wireshark.zip/web新手运维小王的Geoserver遭到了攻击：黑客疑似删除了webshell后门，小王找到了可能是攻击痕迹的文件但不一定是正确的，请帮他排查一下。flag格式 flag{xxxx}

2、题目描述

题目文件：tomcat-wireshark.zip/web新手运维小王的Geoserver遭到了攻击：小王拿到了当时被入侵时的流量，其中一个IP有访问webshell的流量，已提取部分放在了两个pcapng中了。请帮他解密该流量。flag格式 flag{xxxx}

E:应急比赛【题目】小题+综合题solartomcat-wiresharkwebapache-tomcat-9.0.96workCatalinalocalhostROOTorgapachejsp 可以找到明文webshell，看到加密逻辑是aes加密且给出了密钥

flag{sA4hP_89dFh_x09tY_lL4SI4}

aes解密

3、题目描述

题目文件：tomcat-wireshark.zip/web新手运维小王的Geoserver遭到了攻击：小王拿到了当时被入侵时的流量，黑客疑似通过webshell上传了文件，请看看里面是什么。flag格式 flag{xxxx}

解密出来有个包是里传了flag.pdf

cyberchef直接保存为文件打开

flag{dD7g_jk90_jnVm_aPkcs} 

4、题目描述

题目附件：mssql、mssql题-备份数据库请找到攻击者创建隐藏账户的时间flag格式 如 flag{2024/01/01 00:00:00}

flag{2024/12/16 15:24:21}

windows日志4720

5、题目描述

题目附件：mssql、mssql题-备份数据库请找到恶意文件的名称flag格式 如 flag{*.*}

flag{xmrig.exe}

6、题目描述

题目附件：mssql、mssql题-备份数据库请找到恶意文件的外联地址flag格式 如 flag{1.1.1.1}

flag{203.107.45.167}

火绒剑监控

7、题目描述

题目附件：mssql、mssql题-备份数据库请修复数据库flag格式 如 flag{xxxxx}

flag{E4r5t5y6Mhgur89g}

8、题目描述

题目附件：mssql、mssql题-备份数据库请提交powershell命令中恶意文件的MD5flag格式 如 flag{xxxxx}

flag{d72000ee7388d7d58960db277a91cc40}

powershell日志发现恶意命令，套娃套了两层base64，最后一层base64解密保存为文件算md5

解密

base转文件算md5

9、题目描述

题目文件：SERVER-2008-20241220-162057请找到rdp连接的跳板地址flag格式 flag{1.1.1.1}

flag{192.168.60.220}

10、题目描述

题目文件：SERVER-2008-20241220-162057请找到攻击者下载黑客工具的IP地址flag格式 flag{1.1.1.1}

flag{155.94.204.67}

vol导出网络连接

11、题目描述

题目文件：SERVER-2008-20241220-162057攻击者获取的“FusionManager节点操作系统帐户（业务帐户）”的密码是什么flag格式 flag{xxxx}

flag{GalaxManager_2012}

文件扫描发现有个pass.txt

导出查看

12、题目描述

题目文件：SERVER-2008-20241220-162057请找到攻击者创建的用户flag格式 flag{xxxx}

flag{ASP.NET}

13、题目描述

题目文件：SERVER-2008-20241220-162057请找到攻击者利用跳板rdp登录的时间flag格式 flag{2024/01/01 00:00:00}

注意要换一下时区，他的是UTC时区，北京时间是UTC+8

flag{2024/12/21 00:15:34 }

14、题目描述

题目文件：SERVER-2008-20241220-162057请找到攻击者创建的用户的密码哈希值flag格式 flag{XXXX}

flag{5ffe97489cbecle08d0c6339ec39416d}}

15、题目描述

本题作为签到题,请给出邮服发件顺序。Received: from mail.da4s8gag.com ([140.143.207.229])by newxmmxszc6-1.qq.com (NewMX) with SMTP id 6010A8ADfor ; Thu, 17 Oct 2024 11:24:01 +0800X-QQ-mid: xmmxszc6-1t1729135441tm9qrjq3kX-QQ-XMRINFO: NgToQqU5s31XQ+vYT/V7+uk=Authentication-Results: mx.qq.com; spf=none smtp.mailfrom=;dkim=none; dmarc=none(permerror) header.from=solar.secReceived: from mail.solar.sec (VM-20-3-centos [127.0.0.1])by mail.da4s8gag.com (Postfix) with ESMTP id 2EF0A60264for ; Thu, 17 Oct 2024 11:24:01 +0800 (CST)Date: Thu, 17 Oct 2024 11:24:01 +0800To: [email protected]: 鍏嬪競缃戜俊Subject:xxxxxxxxxxMessage-Id: <[email protected]>X-Mailer: QQMail 2.xXXXXXXXXXXflag格式为flag{domain1|...|domainN}

GPT秒了

flag{mail.solar.sec|mail.da4s8gag.com|newxmmxszc6-1.qq.com}

原文始发于微信公众号（Red0）：第一届Solar杯应急响应挑战赛部分wp