【取证】第二届帕鲁Parloo杯-应急响应之主线

应急响应2-15

在server01服务中发现/opt/1panel/apps/openresty/openresty/www/sites/xn--parloo-125m3g/index/index.html被修改过

打开查看发现身份证信息

得到palu{310105198512123456}

应该对应的是如下的web服务

应急响应2-8

在server01中发现/opt/1panel/apps/openresty/openresty/www/sites/192.168.20.103/log发现存在请求log

攻击请求的发起ip是192.168.20.108，应该就是进入内网的立足点了

palu{192.168.20.108}

应急响应2-20

在server中全盘查找palu关键词，发现读取了/flag文件

得到palu{Server_Parloo_2025}

该文件也可以通过gitea中的源码给出的command.log进行全局搜索，找到文件/var/log/parloo/command.log，里面就可以看到这个题的flag了

应急响应2-32

Server01中被增加了恶意用户parloohack，查看其bash_history发现把tcp反连工具改名为aa并执行

得到palu{4123940b3911556d4bf79196cc008bf4}

应急响应2-22

在server01的ubuntu的bash_history中发现操作了日志/var/log/parloo/command.log，打开查看发现反弹shell的地址

得到palu{10.12.12.13:9999}

应急响应2-26

继续在server的/var/log/parloo/command.log中找，发现dnslog请求

得到palu{np85qqde.requestrepo.com}

应急响应2-4

在waf的防护日志中发现攻击ip

得到palu{192.168.20.107}

应急响应2-27

在waf上翻到192.168.20.102机器的9999端口存在heapdump泄露

下载下来JDumpSpider恢复一下看懂shiro key，所以题目的反序列化指的是shiro反序列化

得到palu{9999}

应急响应2-28

本题让找到web服务泄露的密钥，就是上图的shiro key

得到palu{QZYysgMYhG6/CzIJlVpR2g==}

应急响应2-6

在waf的记录中发现192.168.20.102:80服务存在key.txt

得到palu{key.txt}

应急响应2-7

在上一题拿到的http://192.168.20.102/bak/key.txt中发现邮箱[email protected]

得到palu{[email protected]}

应急响应2-3

连接上mysql数据库，在flag表中找到flag

得到palu{Mysql_@2025}

应急响应2-38

在数据库中继续翻找到黑客创建的用户，密码为flag

得到palu{crP1ZIVfqrkfdhGy}

应急响应2-40

在mysql服务器的bash_history中发现编译了.a恶意文件，计算md5即可

得到palu{ba7c9fc1ff58b48d0df5c88d2fcc5cd1}

应急响应2-39

通过修改数据库中admin的密码和盐，登录admin的gitea仓库，在私有库中发现base64编码，解码即可

得到palu{FO65SruuTukdpBS5}

应急响应2-1

登录堡垒机，在web服务中发现flag

得到palu{2025_qiandao_flag}

应急响应2-19

登录palu03，在内网通聊天记录中发现flag

得到palu{nbq_nbq_parloo}

应急响应2-18

登录palu03，发现存在另一个用户hack

得到palu{d78b6f30225cdc811adfe8d4e7c9fd34}

应急响应2-14

通过waf发现192.168.20.102:8081服务存在任意命令执行后门

得到palu{8081}

又看到一种wp里面信息泄露指的是server服务器192.168.20.103:8081上的服务，对应2-15题目找到身份证信息的端口

应急响应2-37

登录palu01，在C盘发现一个批量创建用户的vbs

得到palu{123456}

应急响应2-44

登录palu02，看到沉沉向子怡发送了钓鱼木马

得到palu{Parloo-子怡}

应急响应2-47

登录palu02，看到chrome浏览器中保存了历史密码

得到palu{admin/admin@qwer}

应急响应2-12

登录palu02，看到chrome浏览器历史记录中曾经访问过47.101.213.153

得到palu{47.101.213.153}

又或是从2-11中sshserver的恶意进程外连地址判断出这个攻击者的恶意服务器ip

应急响应2-10

sshserver磁盘取证，在parloo的家目录下发现flag

得到palu{hi_2025_parloo_is_hack}

应急响应2-36

Palu01存在一个创建用户的vbs

让提交创建的恶意用户数量，试了一下结果是palu{99}

应急响应2-2

在waf的web服务身份认证-配置中发现flag

得到palu{2025_waf}

应急响应2-5

因为2-4已经确认了攻击ip，找最早的提交时间就行了

得到palu{2025-05-05-00:04:40}

应急响应2-9

从2-8来看sshserver是被控制的跳板，那么题目描述的提权用户名和密码有可能就在这台sshserver上

但是输入完账号密码之后就会卡住，见鬼了真的，看了其他师傅，摁下ctrl+c能恢复出bash页面

查看一下本机的账号密码

发现被添加了一个parloo后门账号

解出来palu{parloo/parloo}

应急响应2-11

让提交权限维持方法服务的名称，权限维持无非就是计划任务和开启自启的服务

netstat -antlp发现外连服务

同时在进程ps -ef里也能搜到这个程序

定位一下程序的位置

根据pid查看服务的状态

systemctl status pid

发现有两个服务，提交palu{rootset}即可

应急响应2-13

查找被劫持的命令，那么就看这个命令的用户是不是root staff之类的，如果不是那么极有可能被劫持替换了

ls -alh /usr/bin /bin /usr/sbin /sbin | grep -vE 'root|staff|bin'

发现id命令修改用户是ubuntu而不是root，那么本题结果就是palu{id}

应急响应2-16

参考2-14中的截图

通过waf发现192.168.20.102:8081服务存在任意命令执行后门

得到危险路径palu{/admin/parloo}

这个的代码在gitea仓库的master公开也有，能找到该接口

应急响应2-17

让提交近源机器的木马md5

环境已经给了palu03是近源机器

一开机就弹出了svhost.exe无法运行的报错

或者是直接传进去火绒剑也能直接扫出来

得到palu{0f80a82621b8c4c3303d198d13776b34}

应急响应2-21

通过2-20题可以找到敏感信息文件/var/log/parloo/command.log

攻击ip是192.168.20.1，往前翻找该ip最早获得数据的时间

得到palu{2025-05-04:15:30:38}

应急响应2-23

在palu03的桌面上发现重要数据文件

直接提交不对，应该是加密了

在2-39中通过数据库修改了gitea应用admin和hack账号的密码为12345678，直接登陆后在hack账户中发现了加密代码

加密过程需要一个key，先移位再异或对应位置的key，最后再置换（交换高四位和低四位）

由于不知道key，只能暴力破解

通过明文palu{开头，能推断出key前一截是MySec

后面猜测或者暴力破解可以获得完整的key：MySecretKey

从而解密得到palu{Password-000}

应急响应2-24

在2-17的近源机器中已经发现了恶意软件svhost.exe，并且在启动项中也发现了黑客为了维持权限把这个木马加入了启动项

提交palu{svhost}即可

应急响应2-25

让提交恶意程序的外连地址，继续在palu03里面翻

上传everything，通过出题人配置环境的大概攻击时间段

发现了一个python图标的exe很可疑

后面就是常规的反编译pyc了

得到palu{88.173.90.103}

应急响应2-29

这题要找攻击开始时间，应该是紧跟2-28的shiro反序列化，在waf对应的9999端口上找到日志记录

得到palu{2025/05/13:16:45:19}

应急响应2-30

本题让提交server中黑客留下的账号密码

得到账户parloohack:

密码哈希是$y$j9T$RlIs4rqy6D2PI46ntcuwZ0$WFD6WgX3XC4zp/5Y.Jq9yLcfhHK5Rdg6IeDq2Rrl791

直接上kali john破解

得到palu{parloohack/123456}

应急响应2-31

在server中黑客目录中的history中发现其启动了一个服务以维持权限

得到palu{parloohack_script.service}

应急响应2-33

本题让找溯源信息，在palu02中发现特意安装了chrome，并且发现其登陆过c2服务器的vshell

并且还使用浏览器记住了密码

得到palu{X5E1yklz1oAdyHBZ}

应急响应2-34

搜索2-33中用户名处的qq号

在其空间中发现github ID

得到palu{ParlooSEc}

应急响应2-35

进入2-34题目对应的github仓库

https://github.com/ParlooSEc/fffflllgggg

得到palu{s5o3WkX33hptyJjk}

应急响应2-41

把2-40中mysql的恶意文件.a拿出来，ida打开

让提交c2模拟通信的函数名称

得到palu{simulate_network_communication}

应急响应2-42

让提交创建隐藏文件的名称

得到palu{.malware_log.txt}

应急响应2-43

让提交模拟权限提升函数的名称

得到palu{simulate_privilege_escalation}

应急响应2-45

这个题目中恶意程序指的是2-44的钓鱼木马，从聊天截图就能看到木马的路径

登录palu02，看到沉沉向子怡发送了钓鱼木马

得到palu{C:UsersPublicNwtcacherecvParloo-沉沉}

应急响应2-46

本题的反连地址直接把2-45的回执丢沙箱里运行就能看到

得到palu{47.101.213.153}，同时发现和palu02浏览器那个vshell是同一个地址

solar_Linux后门排查

跳板机疑似被遗留后门,请排查

1、找到可疑进程完整路径

2、找到被横向的服务器IP

3、连接被横向服务器

flag格式为 flag{base64{完整路径}|服务器IP|服务器中flag文本}

登录服务器

使用ss命令先看一下当前连接状态

发现我们的36422端口发起一个连接到49.232.112.164的22端口上

连接过去获取flag

得到ZX0001S，同时确定49.232.112.164就是被横向的服务器ip

同时根据恶意进程11，那么继续查询这个恶意进程对应的启动文件路径

得到的可疑进程完整路径就是/usr/lib/systemd/systemd-login

故flag为flag{L3Vzci9saWIvc3lzdGVtZC9zeXN0ZW1kLWxvZ2lu|49.232.112.164|ZX0001S}

原文始发于微信公众号（智佳网络安全）：【取证】第二届帕鲁Parloo杯-应急响应之主线