Solar应急响应WriteUp
数据库
数据库-1
题目附件:mssql、mssql题-备份数据库
请找到攻击者创建隐藏账户的时间
flag格式 如 flag{2024/01/01 00:00:00}
通过筛选日志事件id为4720,即可得到test$用户创建的时间
数据库-2
题目附件:mssql、mssql题-备份数据库
请找到恶意文件的名称
flag格式 如 flag{.}
通过查看任务管理器发现有个挖矿病毒
flag{xmrig.exe}
数据库-3
题目附件:mssql、mssql题-备份数据库
请找到恶意文件的外联地址
flag格式 如 flag{1.1.1.1}
通过netstat查看连接详细,根据上述xmrig.exe的pid来筛选
数据库-4
题目附件:mssql、mssql题-备份数据库
请修复数据库
flag格式 如 flag{xxxxx}
数据库-5
题目附件:mssql、mssql题-备份数据库
请提交powershell命令中恶意文件的MD5
flag格式 如 flag{xxxxx}
在windows事件查看器中找到powershell的日志
整段复制下来,丢给GPT解释一下
大概意思就是把base64编码后的文本解码后再解压Gzip数据得到内容
单独将base64编码提取,尝试解码
得到gz文件,解压得到一个test.txt文件
打开后得到还是一段命令,再次丢给GPT
再次base64解码,保存为文件,既然Cyberchef识别不出是什么文件,那我就默认保存好了
最后md5计算一下得到flag{d72000ee7388d7d58960db277a91cc40}
1 | ❯ md5sum download.dat |
日志流量
日志流量-1
题目文件:tomcat-wireshark.zip/web
新手运维小王的Geoserver遭到了攻击:
黑客疑似删除了webshell后门,小王找到了可能是攻击痕迹的文件但不一定是正确的,请帮他排查一下。
flag格式 flag{xxxx}
在所给的文件中,发现一段疑似base64编码
解密后得到flag
日志流量-2
题目文件:tomcat-wireshark.zip/web
新手运维小王的Geoserver遭到了攻击:
小王拿到了当时被入侵时的流量,其中一个IP有访问webshell的流量,已提取部分放在了两个pcapng中了。请帮他解密该流量。
flag格式 flag{xxxx}
赛后复现,这里需要反编译java文件,我们可以在tomcat-wireshark\web\apache-tomcat-9.0.96\work\Catalina\localhost\ROOT\org\apache\jsp这个路径下找到一个b_jsp.java文件
但是我死活都找不到,原因是我文件一解压就被Windows Defender杀毒杀掉了,导致这题我没做出来啊
你可以在网上找到在线反编译java文件的网站,或者下载离线反编译
Java decompiler online / APK decompiler - Decompiler.com
根据源码可以发现这个是个哥斯拉流量加密
根据源码中的key直接aes解密即可
我们用wireshark筛选http流即可,追踪流显示原始数据
在stream 6中发现flag
日志流量-3
题目文件:tomcat-wireshark.zip/web
新手运维小王的Geoserver遭到了攻击:
小王拿到了当时被入侵时的流量,黑客疑似通过webshell上传了文件,请看看里面是什么。
flag格式 flag{xxxx}
在下一个请求中就是上传的流量
得到内容,发现是pdf文件,另存为改一下后缀即可拿到flag
flag{dD7g_jk90_jnVm_aPkcs}
内存取证
内存取证-1
题目文件:SERVER-2008-20241220-162057
请找到rdp连接的跳板地址
flag格式 flag{1.1.1.1}
通过查看netscan,可以看到RDP端口建立连接
内存取证-2
题目文件:SERVER-2008-20241220-162057
请找到攻击者下载黑客工具的IP地址
flag格式 flag{1.1.1.1}
查看cmdscan可以发现下载了猕猴桃
内存取证-3
题目文件:SERVER-2008-20241220-162057
攻击者获取的“FusionManager节点操作系统帐户(业务帐户)”的密码是什么
flag格式 flag{xxxx}
通过上述cmdscan得知在进行下载猕猴桃前,还查看了桌面的pass.txt文件
尝试导出一下
改一下文件后缀,即可打开得到密码
内存取证-4
题目文件:SERVER-2008-20241220-162057
请找到攻击者创建的用户
flag格式 flag{xxxx}
看一下hashdump
内存取证-5
题目文件:SERVER-2008-20241220-162057
请找到攻击者利用跳板rdp登录的时间
flag格式 flag{2024/01/01 00:00:00}
导出Security.evtx
通过微软自带的时间查看器打开日志,可以看到第一题的跳板IP连接
注意这里需要根据flag格式在小时处再添加一个0
所以flag为flag{2024/12/21 00:15:34}
内存取证-6
题目文件:SERVER-2008-20241220-162057
请找到攻击者创建的用户的密码哈希值
flag格式 flag{XXXX}分数
70.33 分
根据第四题即可得知密码hash
其实还能通过mimikatz导出密码的,题目没要求那就算了
签到
本题作为签到题,请给出邮服发件顺序。
Received: from mail.da4s8gag.com ([140.143.207.229])
by newxmmxszc6-1.qq.com (NewMX) with SMTP id 6010A8AD
for ; Thu, 17 Oct 2024 11:24:01 +0800
X-QQ-mid: xmmxszc6-1t1729135441tm9qrjq3k
X-QQ-XMRINFO: NgToQqU5s31XQ+vYT/V7+uk=
Authentication-Results: mx.qq.com; spf=none smtp.mailfrom=;
dkim=none; dmarc=none(permerror) header.from=solar.sec
Received: from mail.solar.sec (VM-20-3-centos [127.0.0.1])
by mail.da4s8gag.com (Postfix) with ESMTP id 2EF0A60264
for ; Thu, 17 Oct 2024 11:24:01 +0800 (CST)
Date: Thu, 17 Oct 2024 11:24:01 +0800
To: hellosolartest@qq.com
From: 鍏嬪競缃戜俊
Subject:xxxxxxxxxx
Message-Id: 20241017112401.032146@mail.solar.sec
X-Mailer: QQMail 2.xXXXXXXXXXX
flag格式为flag{domain1|…|domainN}
直接问GPT
逆向破解
逆向破解-1
题目文件:【题目】加密器逆向
请逆向该加密器,解密机密文件
flag格式 flag{XXXX}
不会,遂放弃
综合应急
综合应急-1
题目文件:FOG日志
综合应急-1请点击左上角“CTF”按钮切换为“知识竞赛”进行答题。题目类型为选择题,提交机会只有一次,请慎重提交。
本题 flag答案为flag{solar}
最后没时间了就没做几题
卡着点提交的,拿了75分
题目全是蒙的,赛后结束了也看不了题目
附件中日志文件太多了,不会看
综合应急-2
题目文件:FOG日志
攻击者上传了代理工具,请写出他的最终存放路径
格式为flag{x:\xxxxx\xxxx\xxxxxx}