应急响应
身为颜狗的我是真心觉得lovelymem的ui写得~~~~
【任务1】应急大师
题目描述:请提交隐藏用户的名称?
print打印注册表,或者开启环境是就有
【任务4】应急大师
题目描述:请提交黑客创建隐藏用户的TargetSid(目标账户安全ID)?
wmic useraccount get name,sid,statue看到Sid
【任务5】应急大师
题目描述:请提交黑客创建隐藏账户的事件(格式为 年/月/日 时:分:秒)?
安全日志看4720
【任务6】应急大师
题目描述:请提交黑客创建隐藏账户的事件(格式为 年/月/日 时:分:秒)?
一个个看查看用户
【任务2】应急大师
题目描述:请提交黑客的IP地址?
网络链接看到IP
【任务7】应急大师
题目描述:黑客通过远程桌面成功登陆系统管理员账号的网络地址及端口号?提交格式为 IP:PORT 如 127.0.0.1:41110
查看网络链接看到IP
【任务3】应急大师
题目描述:请提交黑客的一句话木马密码?
网站根目录下的/public/uploads目录看到木马文件
公交车系统攻击事件排查
思而听公交系统被黑客攻击,黑客通过web进行了攻击并获取了数据,然后获取了其中一位驾校师傅在FTP服务中的私密文件,其后黑客找到了任意文件上传漏洞进行了GETshell,控制了主机权限并植入了挖矿网页挖矿病毒,接下来你需要逐步排查。
注意:
流量中的21端口对应2121、80端口对应8090。
root的SSH密码为bussec123,第二个地址是SSH地址。
请勿在此提交FLAG,请前往具体任务提交,如【任务1】公交车系统攻击事件排查 提交。
【任务1】公交车系统攻击事件排查
分析环境内的中间件日志,找到第一个漏洞(黑客获取数据的漏洞),然后通过分析日志、流量,通过脚本解出黑客获取的用户密码数据,提交获取的前两个用户名,提交格式:flag{zhangsan-wangli}
明显的sqlmap特
按username往后翻发现排序了,这就说明hack在查表(查bus_system.bus_drivers)了
在src/includes看到数据库用户和密码
链上去查下数据库
flag{sunyue-chenhao}
【任务2】公交车系统攻击事件排查
黑客通过获取的用户名密码,利用密码复用技术,爆破了FTP服务,分析流量以后找到开放的FTP端口,并找到黑客登录成功后获取的私密文件,提交其文件中内容,提交格式:flag{xxx}
home目录下的wangqing目录中存在ftp文件
【任务3】公交车系统攻击事件排查
可恶的黑客找到了任意文件上传点,你需要分析日志和流量以及web开放的程序找到黑客上传的文件,提交木马使用的密码,提交格式:flag{password}
在/public/upload目录下有一个类似“冰蝎”的马(应该是哥斯拉),cat看到密码
【任务4】公交车系统攻击事件排查
分析流量,黑客植入了一个web挖矿木马,这个木马现实情况下会在用户访问后消耗用户的资源进行挖矿(本环境已做无害化处理),提交黑客上传这个文件时的初始名称,提交格式:flag{xxx.xxx}
看了大佬得博客说“根据之前的哥斯拉马解密”,看根目录下的流量包解密流量数据
【任务5】公交车系统攻击事件排查
分析流量并上机排查,黑客植入的网页挖矿木马所使用的矿池地址是什么,提交矿池地址(排查完毕后可以尝试删除它)提交格式:flag{xxxxxxx.xxxx.xxx:xxxx}
看大佬的博客说的是“web挖矿木马,依赖用户浏览器前端,只能是js喽,直接看主页,发现混淆js"
转成ascill码得gulf.moneroocean.stream:10128
取证专项
【任务1】VOL_EASY
题目描述:黑客上传的一句话木马密码是多少?
内存也可以iehistory看到编辑了一个php文件
查看得到木马的连接密码
【任务2】VOL_EASY
题目描述
黑客使用的木马连接工具叫什么(比如xx.exe)?(仅首字母大写)
查看进程看到蚁剑
【任务3】VOL_EASY
题目描述
黑客使用的木马连接工具的位置在哪里(比如C:\xxxx\xx.exe) ?
Cmdline看到路径
【任务4】VOL_EASY
题目描述
黑客获取到的FLAG是什么?
editbox看到flag
【任务5】VOL_EASY
题目描述
黑客入侵的网站地址是多少(只需要http://xxxxx/)?
iehistory看到访问网站的url
【任务6】VOL_EASY
题目描述
黑客入侵时,使用的系统用户名是什么?
系统只有连个用户Administros和Guest(solar是攻击者建的隐藏用户),Gues权限不够,所以
黑客入侵时,使用的系统用户名是Administros
或者看日志
【任务7】VOL_EASY
题目描述:黑客创建隐藏账户的密码是多少?
攻击信息位于蚁剑内存中
【任务8】VOL_EASY
题目描述:黑客首次操作靶机的关键程序是什么?
【任务9】VOL_EASY
题目描述:该关键程序的PID是多少?
【任务10】VOL_EASY
题目描述:该关键程序的内存文件保存到了什么地
yarascan Scan process or kernel memory with Yara signature
