【第二届帕鲁杯】第二届帕鲁杯 主环境 基本完整wp

文档说明

文档说明

本文作者:SwBack
创作时间:‎2025‎年05月19日 13:39:35
知乎:https://www.zhihu.com/people/back-88-87
CSDN:https://blog.csdn.net/qq_30817059
百度搜索: SwBack

solar_Linux后门排查

题目描述

跳板机疑似被遗留后门,请排查
1、找到可疑进程完整路径
2、找到被横向的服务器IP
3、连接被横向服务器
flag格式为 flag{base64{完整路径}|服务器IP|服务器中flag文本}
root:Solar@2025_05_palu!

连接服务器.ss看到恶意IP. 根据进程找到绝对路径

查看进程

连接,获取flag

应急响应2-1

提交堡垒机中留下的flag

登录堡垒机，标签存在flag

应急响应2-2

提交WAF中隐藏的flag

登录WAF，身份认证的用户管理中存在flag

palu{2025_waf}

应急响应2-3

提交Mysql中留下的flag

palu{Mysql_@2025}

应急响应2-4

提交攻击者的攻击IP

palu{192.168.20.107}

应急响应2-5

提交攻攻击者最早攻击时间flag格式为palu{xxxx-xx-xx-xx-xx-xx}

服了.格式错误,。一直交不对。

应急响应2-6

提交web服务泄露的关键文件名

flag{key.txt}

应急响应2-7

题解泄露的邮箱地址

palu{parloo@parloo.com}

应急响应2-8

提交立足点服务器ip地址

应急响应2-9

提交攻击者使用的提权的用户和密码

palu{parloo/parloo}

应急响应2-10

提交攻击者留下的的文件内容作为flag提交

palu{hi_2025_parloo_is_hack}

应急响应2-11

提交权限维持方法服务的名称

应急响应2-12

提交攻击者攻击恶意服务器连接地址作为flag提交

palu{47.101.213.153}

应急响应2-13

找到系统中被劫持的程序程序名作为flag提交

ps -ef 找到

应急响应2-14

找到系统中存在信息泄露的服务运行端口作为flag提交

应急响应2-15

提交Parloo公司项目经理的身份证号作为flag提交

应急响应2-16

提交存在危险功能的操作系统路径作为flag提交。flag格式为palu{/xxx/xxx}

palu{/admin/parloo}

应急响应2-17

提交进源机器中恶意程序的MD5作为flag进行提交。 flag格式为palu{MD5小写}

应急响应2-18

提交攻击者留下的恶意账户名称md5后作为flag进行提交。 格式为palu{md5{xxxxx}}

flag{hack}

应急响应2-19

提交内部群中留下的flag并提交

应急响应2-20

请提交攻击者使用维护页面获取到的敏感内容作为flag进行提交

palu{Server_Parloo_2025}

应急响应2-21

提交获取敏感内容IP的第一次执行命令时间作为flag进行提交。flag格式为palu{xxxx-xx-xx:xx:xx:xx}

palu{2025-05-04:15:30:38}

应急响应2-22

提交攻击者使用的恶意ip和端口flag格式为palu{xx.xx.xx.xx:xxxx}

palu{10.12.12.13:9999}

应急响应2-23

提交重要数据的内容作为flag提交

palu03 桌面存在 重要的数据.txt
gitea中存在hack用户. 仓库中存在加密脚本。
密钥为：MySecreKey 密钥是猜测flag头部为palu{ 反推出来。
palu{Password-000}

应急响应2-24

提交恶意维权软件的名称作为flag进行提交

palu{svhost}

应急响应2-25

提交恶意程序的外联地址

palu03机器中存在ipconfig.exe 根据图标判断是python写的. 反编译得到源代码.即可发现外联地址。
palu{88.173.80.103}

应急响应2-26

提交攻击这使用的恶意dnslog域名作为flag进行提交

palu{np85qqde.requestrepo.com}

应急响应2-27

提交寻找反序列化漏洞的端口作为flag进行提交

雷池WAF，过滤未拦截的反序列化，根据相应内容，只有这个302

palu{9999}

应急响应2-28

提交web服务泄露的密钥作为flag进行提交

palu{QZYysgMYhG6/CzIJlVpR2g==}

应急响应2-29

提交攻击者开始攻击的时间作为flag进行提交。flag各式为palu{xxxx/xx/xx:xx:xx:xx}

应急响应2-30

提交攻击者在server中留下的账户密码作为flag进行提交。flag格式为palu{username/password}

palu{parloohack/123456}

应急响应2-31

提交攻击者维权方法的名称作为flag进行提交

palu{parloohack_script.service}

server01 启动服务

应急响应2-32

提交攻击者留下的木马md5后作为flag进行提交

常规目录文件排查

palu{4123940b3911556d4bf79196cc008bf4}

应急响应2-33

提交攻击者留下的溯源信息作为flag进行提交

palu{X5E1yklz1oAdyHBZ}

应急响应2-34

提交攻击者的githubID作为flag进行提交

33题账号为qq号，搜索发现帕鲁账号

查看空间得到github用户名

查api得到id

应急响应2-35

提交攻击者在github下留下的的内容作为flag进行提交

github主页

应急响应2-36

提交恶意用户的数量作为flag进行提交

应急响应2-37

提交恶意用户的默认密码作为flag进行提交

123456

应急响应2-38

提交业务数据中攻击者留下的信息作为flag进行提交

数据库

palu{crP1ZIVfqrkfdhGy}

应急响应2-39

提交私人git仓库中留下的内容作为flag进行提交

palu{FO65SruuTukdpBS5}

应急响应2-40

提交存在在mysql服务器中的恶意程序的MD5作为flag进行提交

常规目录文件排查

应急响应2-41

提交恶意程序中模拟c2通信的函数名称作为flag进行提交

palu{simulate_network_communication}

应急响应2-42

提交恶意程序创建隐藏文件的名称作为flag提交

palu{.malware_log.txt}

应急响应2-43

提交恶意程序中模拟权限提升的函数作为flag进行提交

拓IDA分析，通过函数名称就能确定

palu{simulate_privilege_escalation}

应急响应2-44

提交被钓鱼上线的用户名作为flag进行提交

翻聊天记录，子怡收到了cc的文件，拖出来仍微步检测确定

palu{Parloo-子怡}

应急响应2-45

提交恶意程序的所在路径作为flag进行提交

palu{C:\Users\Public\Nwt\cache\recv\Parloo-沉沉}

上一题文件路径

应急响应2-46

分析恶意程序的反连地址作为flag进行提交

palu{47.101.213.153}

wireshark抓包,

应急响应2-47

提交恶意c2的服务器登录的账号密码作为flag进行提交。flag格式为palu{username/password}

palu{admin/admin@qwer}