本文章仅记录解答过程中的思路,具体答案请以官方WP为主。
签到题
题目:
本题作为签到题,请给出邮服发件顺序。
Received: from mail.da4s8gag.com ([140.143.207.229])
by newxmmxszc6-1.qq.com (NewMX) with SMTP id 6010A8AD
for ; Thu, 17 Oct 2024 11:24:01 +0800
X-QQ-mid: xmmxszc6-1t1729135441tm9qrjq3k
X-QQ-XMRINFO: NgToQqU5s31XQ+vYT/V7+uk=
Authentication-Results: mx.qq.com; spf=none smtp.mailfrom=;
dkim=none; dmarc=none(permerror) header.from=solar.sec
Received: from mail.solar.sec (VM-20-3-centos [127.0.0.1])
by mail.da4s8gag.com (Postfix) with ESMTP id 2EF0A60264
for ; Thu, 17 Oct 2024 11:24:01 +0800 (CST)
Date: Thu, 17 Oct 2024 11:24:01 +0800
To: hellosolartest@qq.com
From: 鍏嬪競缃戜俊
Subject:xxxxxxxxxx
Message-Id: <20241017112401.032146@mail.solar.sec>
X-Mailer: QQMail 2.x
XXXXXXXXXX
解答:
根据邮件头信息,邮件的发件顺序可以从最早的 Received 头部向后推断,首先是最初的邮件来源,依次通过多个邮件服务器转发。具体顺序如下:
-
mail.solar.sec
-
mail.da4s8gag.com
-
newxmmxszc6-1.qq.com
所以,flag的结果为:
flag{mail.solar.sec|mail.da4s8gag.com|newxmmxszc6-1.qq.com}
日志流量
本题目所给环境如下:
日志流量-1
题目:
新手运维小王的Geoserver遭到了攻击:黑客疑似删除了webshell后门,小王找到了可能是攻击痕迹的文件但不一定是正确的,请帮他排查一下。
解答:
本题主要考察tomcat环境webshell文件上传特征。
在 Apache Tomcat 的运行环境中,
work/Catalina/localhost/ROOT/目录通常是用于存放 JSP 文件的编译产物的临时目录。当攻击者上传 WebShell(通常是以.jsp为后缀的文件)时,Tomcat 会自动将上传的 JSP 文件编译为 Java 源文件(.java),并进一步编译为字节码文件(.class),最终用于执行。
查看临时目录,发现webshell的Java 源文件,根据特征判断为哥斯拉AES马。
apache-tomcat-9.0.96\work\Catalina\localhost\ROOT\org\apache\jsp\b_jsp.java
flag为code的base64解码。当然本题目也可以使用D盾等webshell查杀工具。
日志流量-2
题目:
新手运维小王的Geoserver遭到了攻击:小王拿到了当时被入侵时的流量,其中一个IP有访问webshell的流量,已提取部分放在了两个pcapng中了。请帮他解密该流量。
解答:
本题主要考察哥斯拉webshell流量分析解密。
通过wire流量包分析发现大量的b.jsp木马请求流量。
最低0.47元/天 解锁文章
扫一扫
1001
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
