点击上方蓝字关注我们 并设为星标

不同版本修改一下适配版本

应急响应1-1：提交攻击者使用的攻击ip地址

在/var/log/nginx的日志文件中可以看见IP192.168.31.240上传了一个shell文件

192.168.31.240

应急响应1-2：提交攻击者使用的攻击ip地址

用沙箱对7的钓鱼文件分析可以得到IP

192.168.31.11

应急响应1-4：提交攻击者留下的flag1

直接搜就行了

palu{pc3_zgsfqwerlkssaw}

应急响应1-5：提交攻击者留下的flag2

在最近使用的bat文件中可以看见

应急响应1-7：提交钓鱼文件的哈希32位大写

在内网通中发现有个压缩文件，我们但是找不到，发现在回收站中

解压后火绒报毒

2977CDAB8F3EE5EFDDAE61AD9F6CF203

应急响应1-8：提交攻击者留下的webshell-1密码

通过前面日志文件发现192.168.31.240上传shell.php可以直接看见连接密码

/var/lib/docker/overlay2/4bc4b1046f364a2489bc8a2636f6be58ae1620139c2198b10610563e4860313f/diff/var/www/html/uploads

hack

应急响应1-10：提交攻击者留下的webshell密码2

根据题目既然是webshell必定在web服务中，直接去找可以看见

00232

应急响应1-11：提交攻击者留下的隐藏账户的密码

根据事务管理器可以发现黑客拆功能键了system$这个隐藏账户

使用mimikatz来获取隐藏账户密码的Hash

privilege::debug

token::elevate

lsadump::sam

dbae99beb48fd9132e1cf77f4c746979使用https://cmd5.com/付费解密出答案为

wmx_love

PS:更多比赛WP关注公众号

因为交流群超过200人，可以加下方微信拉