【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

admin 2025年5月26日09:22:52评论40 views字数 1444阅读4分48秒阅读模式

网络架构

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

环境配置

需要在VM中新增虚拟网卡VMnet19仅主机模式,并设置子网ip192.168.87.0 子网掩码255.255.255.0

应急响应1-1

攻击者ip地址1

webservernginx日志中发现攻击者请求a.php一句话木马了

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

得到palu{192.168.31.240}

应急响应1-10

webserverwww目录下发现a.php一句话木马

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

得到palu{00232}

应急响应1-7

win10 pc的回收站里发现一份简历.exe怀疑是钓鱼文件

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

得到palu{2977CDAB8F3EE5EFDDAE61AD9F6CF203}

应急响应1-5

win10PC的历史记录中发现一个a.bat,打开得到flag2

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

得到palu{nizhidaowoyouduoainima}

应急响应1-4

win10PC的计划任务中发现flag1文件

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

得到palu{pc3_zgsfqwerlkssaw}

应急响应1-11

win10PC中执行mimikatz

privilege::debugtoken::elevatelsadump::sam

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

存在隐藏账户system$,解NTLM哈希dbae99beb48fd9132e1cf77f4c746979即可

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

得到palu{wmx_love}

应急响应1-8

webserverdocker里后门发现hack参数

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

得到palu{hack}

应急响应1-2

webserverdocker容器的/www目录下发现一个nc的后门连接记录

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

得到palu{192.168.31.11}

应急响应1-3

从前面发现webserver上有docker服务

history中发现执行过启动命令

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

启动之后发现有一个phpmyadmin的镜像,怀疑题目说的暴力破解开始时间就是指暴力破解phpmyadmin

进入容器

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

查看请求日志

发现日志被docker重定向输出出去了

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

直接使用docker log phpmyadmin查看日志

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

找到暴力破解的开始时间palu{2025:03:05:58}

应急响应1-6

一直有一台数据库服务器还没看过

webserverwww目录index.php中发现了数据库的连接密码

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

回到数据库服务器登录

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

content base64解码即可

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

得到palu{sqlaabbccsbwindows}

应急响应1-9

这个题因为虚拟机CPU指令的原因没法直接还原,只能强行关机重启,有些环境重启之后就消失了没法复现,贴一个其他师傅的截图吧

查看webserver的计划任务发现攻击者的一个端口1144,可惜重启服务器之后这个文件消失了

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

查看服务器网络连接状态发现正在连接攻击者的8084端口,或者根据木马文件简历.exe的连接也可能发现8084端口

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

在应急响应1-2中我们已经找到一个攻击者的端口1133

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

所以本题的flag就是palu{1133,1144,8084}

应急响应1-13

这题要溯源攻击者的身份,我们从攻击者留下的钓鱼木马来分析,发现pdb调试信息存在n0k4u

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

github找到该用户的仓库

仓库中找到一个qq

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

添加后得到flag

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

得到palu{loveyouibiejv}

应急响应1-12

有了github用户,直接用api查询该用户的邮箱就行了

https://api.github.com/users/n0k4u/events/public

【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

得到palu{[email protected]}

原文始发于微信公众号(智佳网络安全):【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月26日09:22:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱https://cn-sec.com/archives/4097100.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息