网络架构
环境配置
需要在VM中新增虚拟网卡VMnet19仅主机模式,并设置子网ip192.168.87.0 子网掩码255.255.255.0
应急响应1-1
攻击者ip地址1:
从webserver的nginx日志中发现攻击者请求a.php一句话木马了
得到palu{192.168.31.240}
应急响应1-10
在webserver的www目录下发现a.php一句话木马
得到palu{00232}
应急响应1-7
在win10 pc的回收站里发现一份简历.exe怀疑是钓鱼文件
得到palu{2977CDAB8F3EE5EFDDAE61AD9F6CF203}
应急响应1-5
在win10PC的历史记录中发现一个a.bat,打开得到flag2
得到palu{nizhidaowoyouduoainima}
应急响应1-4
在win10PC的计划任务中发现flag1文件
得到palu{pc3_zgsfqwerlkssaw}
应急响应1-11
在win10PC中执行mimikatz
privilege::debug
token::elevate
lsadump::sam
存在隐藏账户system$,解NTLM哈希dbae99beb48fd9132e1cf77f4c746979即可
得到palu{wmx_love}
应急响应1-8
在webserver的docker里后门发现hack参数
得到palu{hack}
应急响应1-2
在webserver的docker容器的/www目录下发现一个nc的后门连接记录
得到palu{192.168.31.11}
应急响应1-3
从前面发现webserver上有docker服务
从history中发现执行过启动命令
启动之后发现有一个phpmyadmin的镜像,怀疑题目说的暴力破解开始时间就是指暴力破解phpmyadmin
进入容器
查看请求日志
发现日志被docker重定向输出出去了
直接使用docker log phpmyadmin查看日志
找到暴力破解的开始时间palu{2025:03:05:58}
应急响应1-6
一直有一台数据库服务器还没看过
在webserver的www目录index.php中发现了数据库的连接密码
回到数据库服务器登录
将content base64解码即可
得到palu{sqlaabbccsbwindows}
应急响应1-9
这个题因为虚拟机CPU指令的原因没法直接还原,只能强行关机重启,有些环境重启之后就消失了没法复现,贴一个其他师傅的截图吧
查看webserver的计划任务发现攻击者的一个端口1144,可惜重启服务器之后这个文件消失了
查看服务器网络连接状态发现正在连接攻击者的8084端口,或者根据木马文件简历.exe的连接也可能发现8084端口
在应急响应1-2中我们已经找到一个攻击者的端口1133
所以本题的flag就是palu{1133,1144,8084}
应急响应1-13
这题要溯源攻击者的身份,我们从攻击者留下的钓鱼木马来分析,发现pdb调试信息存在n0k4u
在github找到该用户的仓库
仓库中找到一个qq号
添加后得到flag
得到palu{loveyouibiejv}
应急响应1-12
有了github用户,直接用api查询该用户的邮箱就行了
https://api.github.com/users/n0k4u/events/public
得到palu{[email protected]}
原文始发于微信公众号(智佳网络安全):【取证】第二届帕鲁Parloo杯-应急响应之畸形的爱
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论