关注公众号夜风Sec,持续分享各种工具和学习记录,共同进步:)
在公众号回复solar获取相关附件
题目信息
题目资源
题目来源:2025年Solar应急响应2月月赛
题目:单机取证题目附件 2.19.E01
背景 & 题目
服务器密码:Admin!@#45lko
起因:某某文化有限公司的服务器被攻击了,领导说找不出来原因就炒小王鱿鱼,请你拯救小王的运维生涯。
-
帮助小王找到是什么漏洞导致了小王的运维生涯受到了打击?(回答攻击者利用的漏洞编号)---> flag格式为:flag{CNVD-20xx-12xxx} -
请你帮助小王找到攻击者使用的信息收集工具。(回答工具名称)---> flag格式为:flag{xxxx.exe} -
帮助小王找到攻击者创建的隐藏账户的密码。 ---> flag格式为:flag{xxxxxxxxxx} -
小王发现系统中有什么文件一直被删除,你能找出来原因吗?(请回答包含的可疑域名) ---> flag格式为:flag{xxx.xxx.xxx} -
请你帮助小王找到攻击者隐藏的webshell后门,(请回答shell的md5值) ---> flag格式为:flag{xxxxxxxxx}
题解过程
flag1
帮助小王找到是什么漏洞导致了小王的运维生涯受到了打击?(回答攻击者利用的漏洞编号)---> flag格式为:flag{CNVD-20xx-12xxx}
使用FTK导入附件文件,然后查看目录,在Program Files(x86)中看到了,
Chanjet目录 -> 畅捷通 公司产品相关的目录 -> 畅捷通(Chanjet)是用友网络旗下子公司
找到相关日志( Programs Files(x86)ChanjetTPlusProWebServerserverlogshost.access.log ),导出分析,
这时候就可以直接去谷歌搜索相关畅捷通的cnvd了
对于日志内容,可以发现最后有大量的目录爆破行为.....
flag{CNVD-2022-60632}flag2
请你帮助小王找到攻击者使用的信息收集工具。(回答工具名称)---> flag格式为:flag{xxxx.exe}
查看隐藏账户urts$的桌面( Usersurts$Desktop )
发现了mimikatz
flag{mimikatz.exe}flag3
帮助小王找到攻击者创建的隐藏账户的密码。 ---> flag格式为:flag{xxxxxxxxxx}
找到C:WindowsSystem32configSAM 和 C:WindowsSystem32configSYSTEM 导出
SAM 文件:存储本地用户账户、密码哈希、权限和属性。
SYSTEM 文件:存储系统级配置信息和加密 SAM 文件所需的密钥。
导出,然后通过impacket内置的secretsdump.py进行导出hash
python secretsdump.py -sam SAM_PATH -system SYSTEM_PATH LOCAL
-
后面这个LOCAL是本地模式,指的是前面的文件来自于本地
用hashcat爆破
hashcat -m 1000 -a 0 hash.txt /usr/share/wordlists/rockyou.txt
flag{666777888}flag4
小王发现系统中有什么文件一直被删除,你能找出来原因吗?(请回答包含的可疑域名) ---> flag格式为:flag{xxx.xxx.xxx}
flag5
请你帮助小王找到攻击者隐藏的webshell后门,(请回答shell的md5值) ---> flag格式为:flag{xxxxxxxxx}
这两个flag需要分析数据库文件,mdf,但是我本地的SSMS导入不进去该文件,看官方wp吧。
https://cn-sec.com/archives/3794592.html#google_vignette
往期推荐:
原文始发于微信公众号(夜风Sec):【应急分析复盘】Solar月赛单机取证题解析:从日志到哈希,5 个 flag 完整还原攻击链!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论