文章目录
一、序言
也是终于把帕鲁杯应急响应完整做一遍了,主办单位真用心了,这么大环境,总结下来还是很有收获,但是毕竟是做题有时候不知道出题人意图不太清楚去哪找答案,实际中也是只有你足够熟悉网络架构与系统服务,才能更快的找到问题所在。
wp参考:帕鲁杯应急响应wp
二、背景信息
在这个跳跃的数字舞台上,数据安全成了政企单位稳航的重要压舱石。某政企单位,作为一艘驶向未来的巨轮,对数据的把控丝毫不敢松懈。眼下,我们即将启航一场无与伦比的探险——“信息安全探索之旅”。
这趟旅程的目的是遍访我们的信息系统每一个角落,探寻隐藏在暗处的风险海怪,提升船员们对数据宝藏的守护意识,确保我们的珍贵资讯宝藏不被外界窥见,不受损害,随时准备发挥其价值。在这场航旅中,某政企单位期望锻造一副更加坚不可摧的数据防护铠甲,增强面对意外风暴的航行能力。
你和你的团队,作为这次探险的领航员,将借助先进的应急响应罗盘,对我们的内部信息航道进行全域的安全梳理。从网络的海洋到系统的天空,从数据库的深渊到应用的岛屿,无一处不在你们的巡航范围之内。我们将特别防范那些潜伏的数据海盗——数据泄露、非法入侵、恶意攻击,以及物联网设备安全上的狂风骤雨。
让我们携手共航,把这次“信息安全探索之旅”变成一个传奇,确保我们的信息系统像最强大的舰队领航者一样,勇敢、可靠、无所畏惧。向着更安全的港湾,全速前进!
三、网络拓扑
四、资产清单
五、应急响应题目
1. 提交:[堡垒机的flag标签的值]
登录到堡垒机
[BrYeaVj54009rDIZzu4O]
2. 提交攻击者第一次登录时间
格式为:[2024/00/00/00:00:00]
JumpServer切换到审计台,日志审计-登陆日志获取登陆成功信息
由于登陆城市 LAN 与其他显示 局域网 不一致
可判断 这一条为攻击者第一次登录时间
[2024/04/11/14:21:18]
3. 提交攻击者源IP
格式为:[0.0.0.0]
可观察系统登录的IP,往上面猜测
[192.168.1.4]
4. 提交攻者使用的cve编号
格式为:[CVE-0000-0000]
可搜索jumpserver堡垒机v3漏洞,多次尝试
[CVE-2024-29201]
5. 提交攻击者留着web服务器上的恶意程序的32位小写md5
格式为:[xxxxxx]
由于没有web服务器的登录信息,尝试在堡垒机上找记录,查找是否有向web服务器上传恶意程序的记录
发现也不能下载文件,然后去查找了命令记录
[84413332e4e7138adc5d6f1f688ddd69]
6. 分析恶意程序连接地址和密码
格式为:[md5(地址)-md5(密码)]全小写
这里似乎需要提取home文件进行分析才行,没什么思路,堡垒机也不能导出文件,而且也没有上传的记录
看了其他佬的wp,可以将vmdk放到DiskGenius里分析,提取出home文件然后反编译看源码(不会,也懒得操作了)
[md5(82.157.238.111)-md5(1qaz@WSX3edc)]
7. 提交存在反序列化漏洞的端口
格式为:[md5(端口)]
看到漏洞相关,想到去waf上看信息
[md5(8080)]
8. 提交攻击者使用的后门路由地址
格式为:[md5(/api/xxx)]
没什么思路,在waf上找了一圈没找到,看wp在会话记录中可以看到
[md5(/api/system)]
9. 提交dnslog反弹域名
格式为:[md5(域名)]
这里没找到,看wp提示可以找doker日志还有就是像前面直接分析虚拟机文件去找
[md5(0vqkht.palu.cn)]
10. 提交第一次扫描器使用时间
格式为:[2024/00/00/00:00:00]
找到log文件
时间戳转换成时间
[2024/04/15/02:26:59]
11. 提交攻击者反弹shell使用的语言
格式为:[md5(c++&java)]均为小写
同样在日志中查找
[md5(python)]
12. 提交攻击者反弹shell的ip
格式为:[xxx.xxx.xxx.xxx]
11题中就可以看到连接的IP,端口是7890
[82.157.238.174]
13. 提交攻击者留下的账号
格式为:[xxxxx]
账号去/etc/passwd中查找
[palu.com]
14. 提交攻击者的后门账户密码
格式为:[md5(password)]
账号密码去/etc/shadow中查找
复制到文档中利用john解密
[md5(123123)]
15. 提交测试数据条数
格式为[md5(xxx)]
这里测试数据我不知道指什么,wp解释
连接数据库MYSQL Server 1 查看palu_ctf库中user表
[md5(5)]
16. 请提交攻击者留下的信息
格式为:[xxxx]
可以去日志中找找
在/var/log/nginx/下存在 hacktext
[flag{hi_palu_f10g}]
17. 请提交运维服务器上的恶意文件md5小写32
格式为:[xxxx]
和第五题类似,在堡垒机命令记录处搜索MD5,找到运维服务器的记录,查看回放
[0fca0f847a45401c878d7a5303ddc1f8]
18. 提交恶意文件的恶意函数
格式为:[md5(恶意函数)]
尝试ssh连接堡垒机下载恶意文件显示拒绝连接
即在服务器上开启个http服务进行下载
Find / -name “helloworld”
Cd /usr/lib
Python3 -m http.server 8081
wget http://192.168.20.11:8081/helloworld
再用ida反编译打开找函数
师傅们认为haveadoor为恶意函数 flag却是begingame
[md5(begingame)]
19. 请提交攻击者恶意注册的恶意用户条数
格式为:[md5(x)]
Webserver页面为discuz论坛
搜索一下存放用户信息的表在哪
找到这个表
恶意注册的恶意用户条数为10条
[md5(10)]
20. 请提交对博客系统的第一次扫描时间
格式为:[[2024/00/00/00:00:00]
这里其实有点不明白为什么是16号,因为之前也有攻击流量,可能是16号宣布比赛启动?
[2024/04/16/21:03:46]
21. 提交攻击者下载的文件
格式为[xxxx.xxx]
可在waf上看到webserver上存放的文件,可以看到请求次数,我这里可能是环境原因都是0
[upload.zip]
22. 请提交攻击者第一次下载的时间
格式为:[xx/Apr/2024:xx:xx:xx]
上面知道了下载了upoad.zip文件,看下载时间就去找日志/var/log/apache2/other_vhosts_access.log
[16/Apr/2024:09:03:52]
23. 请提交攻击者留下的冰蝎马的文件名称
格式为:[xxxx]
将web根目录复制下来查杀/var/www/html
[nidewen.php]
24. 提交冰蝎的链接密码
格式为:[xxx]
key为md5前十六位(在github搜代码)
[nidewen]
25. 提交办公区存在的恶意用户名
格式为:[xxx]
在pc1登录处可看到hacker账户,一般的是去看用户组和注册表排查
[hacker]
26. 提交恶意用户密码到期时间
格式为:[xxxx]
Net user hacker
[2024/5/28/21:40:37]
27. 请对办公区留存的镜像取证并指出内存疑似恶意进程
格式为:[xxxx]
不会内存取证,参考的wp
vol.py -f /root/raw.raw imageinfo //查看镜像
vol.py -f /root/raw.raw --profile=Win7SP1x64 pslist //查看进程
[.hack.ex]
28. 请指出该员工使用的公司OA平台的密码
格式为:[xxxx]
vol.py -f /root/raw.raw --profile=Win7SP1x64 filescan | grep "pass"
根据filescan 筛选pass,dumpfiles提取出文件
vol.py -f /root/raw.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e296f20 -D ./
url: http://test.oa.com/login.html
username: liuling
password: liuling7541
[liuling7541]
29. 攻击者传入一个木马文件并做了权限维持,请问木马文件名是什么
格式为:[xxxx]
vol.py -f /root/raw.raw --profile=Win7SP1x64 clipboard
[h4ck3d!]
30. 请提交该计算机中记录的重要联系人的家庭住址
格式为:[xxxxx]
可以先filescan桌面
vol.py -f /root/raw.raw --profile=Win7SP1x64 filescan | grep "Desktop"
可以搜用户栏或者指定用户
vol.py -f /root/raw.raw --profile=Win7SP1x64 filescan | grep "admin"
有 Contacts文件夹 我们可以进一步过滤
vol.py -f /root/raw.raw --profile=Win7SP1x64 filescan | grep "contact"
dumpfiles 数据
vol.py -f /root/raw.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003de90340 -D ./
cat file.None.0xfffffa800cdbc010.dat
[秋水省雁荡市碧波区千屿山庄1号]
31. 请提交近源靶机上的恶意文件哈希
格式为:[xxx]
登陆pc2发现会自动打开文件夹,并在启动目录下,猜测为恶意程序
[a7fcd0b15a080167c4c2f05063802a6e]
32. 提交恶意程序的外联地址
格式为:[xxxxx]
微步沙箱分析
[101.78.63.44]
33. 提交攻击者使用内网扫描工具的哈希
格式为:[xxxx]
一般内网扫描我们想到fsan,在堡垒机上搜索一下
[1facdcd05c43ba4d37274dffc90b6d4e]
34. 请提交攻击者在站点上留下的后门密码
格式为:[xxxx]
前面有题目有提到
[md5(123)]
35. 请提交攻击者在数据库留下的信息
格式为:[xxxx]
连接数据库01
Pre_ucenter_vars表
[flag{hack_palu}]
36. 提交攻击者在监控服务器上留下的dcnlog地址
格式为:[xxx.xx.xx]
MYSQL Server 2 中zabbix库中scripts表中发现 dcnlog地址
[palu.dcnlog.cn]
37. 提交监控服务器上恶意用户的上一次登录时间
格式为:[xx/xx/xx/xx:xx:xx]
登录监控服务器服务进行查看
服务登录信息未知 可以使用默认密码 Admin/zabbix
http://192.168.20.12/zabbix
[2024/04/17/01:32:44]
38. 提交监控服务器上遗留的反弹shell地址和端口
格式为:[xxxx:xx]
找到脚本栏位,并进行base64解码
[154.183.110.12:7890]
39. 提交恶意钓鱼文件的哈希
格式为:[xxxx]
PC02文件
[da75025ff7f3b6baa27f5913c1c83063]
40. 提交恶意文件外联IP
格式为:[xxx]
用了微步和奇安信沙箱分析
117.18.232.200
111.170.15.115
122.228.115.35
52.109.20.46
不知道对不对,没答案
41. 提交被恶意文件钓鱼使用者的姓名
格式为:[xxx]
搜素钓鱼邮件名称,找到
[陈琚鹭]
42. 提交攻击者留下的信息
格式为:[xxxx]
堡垒机查看会话记录
[flag{2024-04-17-hi}]
43. 提交恶意用户数量
格式为:[md5(xxxx)]
请提交员工集体使用的密码
格式为:[xxxx]
除去中文字符 (员工姓名) 系统自带用户,admin+编号/dev+编号/sale+编号 为恶意用户
[md5(49)]
44. 请提交员工集体使用的密码
格式为:[xxxx]
同样是查看会话记录
[Network@2020]
45. 提交加密文件的哈希
格式为:[xxxx]
找到加密文本计算hash即可
[2bf71a0d6d4e70cec7602da2b653e2ab]
46. 提交被攻击者加密的内容明文
格式为:[xxxx]
解密代码参考各位师傅的wp
[2024ispassword]
47. 请提交符合基线标准的服务器数量
格式为:[md5(xx)]
一共就6台主机,但是flag不是
[md5(0)]
48. 提交办公区的恶意文件哈希
格式为:[xxx]
通过堡垒机查看PC2文件传输记录发现有palucomeyi1.exe文件
[5232a191eb2913337e0a93b0a990f2a2]
49. 提交恶意回连端口
格式为:[xxx]
由于程序是python封装的exe文件,涉及到反编译
pyinstxtractor反编译工具:https://github.com/extremecoders-re/pyinstxtractor
pyc反编译工具:https://toolkk.com/tools/pyc-decomplie
python pyinstxtractor.py palucomeyi1.exe
[22]
50. 提交恶意程序中的falg
格式为:[xxx]
由49题代码可知
flag{234567uyhgn_aiduyai}
51. 提交恶意文件中的search_for_text内容
格式为:[xxxx]
由49题代码可知
[passwod]
52. 提交web服务器上攻击者修改后的root密码
格式为:[xxxx]
和14题一样,导出密码进行破解,但是字典里没有跑不出来
[Network@20202020]
扫一扫
3343
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
