【solar应急响应竞赛wp-部分】

文章目录

一、签到题

二、流量分析

1.文件排查

2.流量解密

3.文件提取

三、数据库

1.攻击者创建隐藏账户的时间

2.恶意文件的名称

3.恶意文件外联地址

4.数据库修复

5.逆向恶意powoshell的md5值

四、内存取证

1.远程rdp连接的跳板地址

2.请找到攻击者下载黑客工具的IP地址

3.攻击者获取的FusionManager节点操作系统帐户（业务帐户）的密码是什么？

4.请找到攻击者创建的用户

5.攻击者利用跳板rdp登录的时间

6.攻击者创建用户的密码哈希值

五、逆向破解

六、综合应急

1.综合答题

2.攻击者上传了代理工具，请写出他的最终存放路径

---

Solar应急响应竞赛

详细wp可关注SOLAR官方公众号查看：

https://mp.weixin.qq.com/s/kMvwfBJgd7ugaWzm5U-5Ww

---

一、签到题

给出邮服发件顺序

Received: from mail.da4s8gag.com ([140.143.207.229])

by newxmmxszc6-1.qq.com (NewMX) with SMTP id 6010A8AD

for ; Thu, 17 Oct 2024 11:24:01 +0800

X-QQ-mid: xmmxszc6-1t1729135441tm9qrjq3k

X-QQ-XMRINFO: NgToQqU5s31XQ+vYT/V7+uk=

Authentication-Results: mx.qq.com; spf=none smtp.mailfrom=;

dkim=none; dmarc=none(permerror) header.from=solar.sec

Received: from mail.solar.sec (VM-20-3-centos [127.0.0.1])

by mail.da4s8gag.com (Postfix) with ESMTP id 2EF0A60264

for ; Thu, 17 Oct 2024 11:24:01 +0800 (CST)

Date: Thu, 17 Oct 2024 11:24:01 +0800

To: hellosolartest@qq.com

From: 鍏嬪競缃戜俊

Subject:xxxxxxxxxx

Message-Id: <20241017112401.032146@mail.solar.sec>

X-Mailer: QQMail 2.x

XXXXXXXXXX

根据邮件头信息，邮件的发件顺序可以从最早的 Received 头部向后推断，首先是最初的邮件来源，依次通过多个邮件服务器转发。

具体顺序如下：

1. mail.solar.sec
2. mail.da4s8gag.com
3. newxmmxszc6-1.qq.com

所以，flag的结果为：

flag{mail.solar.sec|mail.da4s8gag.com|newxmmxszc6-1.qq.com}

二、流量分析

1.文件排查

新手运维小王的Geoserver遭到了攻击：黑客疑似删除了webshell后门，小王找到了可能是攻击痕迹的文件但不一定是正确的，请帮他排查一下。

直接使用杀毒软件查杀根目录，可找到可疑文件

b_jsp.java

发现疑似base64编码的字符串，解密得到flag

Flag{A7b4_X9zK_2v8N_wL5q4}

2.流量解密

新手运维小王的Geoserver遭到了攻击：小王拿到了当时被入侵时的流量，其中一个IP有访问webshell的流量，已提取部分放在了两个pcapng中了。请帮他解密该流量。

通过利用webshell文件中的xc作为解密密钥，对流量进行解密，通过筛选排查可发现flag

xc="a2550eeab0724a69"作为密钥，采用AES加密算法

打开流量包，找到第六个http流，调整为原始数据进行排查解密

flag{sA4hP_89dFh_x09tY_lL4SI4}

3.文件提取

新手运维小王的Geoserver遭到了攻击：小王拿到了当时被入侵时的流量，黑客疑似通过webshell上传了文件，请看看里面是什么。使用流量解密工具进行解密流量并删除无用部分后另存为pdf。

同样也是第六个http流，可以发现下面出现大量的请求数据，可能是上传的文件

同样的方式进行解密，得到一个文件，查看代码可看到显示了flag文件目录信息，修改后缀为pdf，打开可看到flag

flag{dD7g_jk90_jnVm_aPkcs}

三、数据库

官方没有提供数据库系统密码。需要自行破解

使用DiskGenius打开vmdk文件不能读取到内容

进入PE系统：PE镜像下载地址https://www.hotpe.top/download/

编辑设置

选择电源-->打开电源时进入固件

在boot选项中调整启动顺序

F10保存退出，即可登录系统

可以在源系统盘看到勒索信 X3rmENR07.README.txt ，被加密的文件后缀为.X3rmENR07

1.攻击者创建隐藏账户的时间

找到系统源盘的安全日志

D:\Windows\System32\winevt\Logs\Security.evtx

筛选4720创建用户事件ID

flag{2024/12/16 15:24:21}

2.恶意文件的名称

上传杀毒软件进行查杀

flag{xmrig.exe}

3.恶意文件外联地址

在恶意文件目录找到了配置文件，里面有外联url信息

DNS解析为地址

flag{203.107.45.167}

4.数据库修复

官方WP采用D-Recovery SQL Server 进行修复，详情见官方WP

5.逆向恶意powoshell的md5值

见官方WP

四、内存取证

使用常用工具volatility或Lovelymem

Lovelymem解题方法可参考官方群WP

使用内存分析工具volatility查看镜像基本信息

volatility.exe -f SERVER-2008-20241220-162057.raw imageinfo

1.远程rdp连接的跳板地址

使用建议的 profile：Win7SP1x64。

分析3389端口网络连接情况，定位到跳板地址IP，得到flag

volatility.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 netscan

flag{192.168.60.220}

2.请找到攻击者下载黑客工具的IP地址

查看历史cmd命令，找到黑客工具mimikatz的下载地址。

volatility.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 cmdscan

 

flag{155.94.204.67}

3.攻击者获取的FusionManager节点操作系统帐户（业务帐户）的密码是什么？

根据上体信息记录，历史命令有type pass.txt

推测攻击者查看了C:\Users\Administrator\Desktop\pass.txt密码文件

使用filescan插件扫描文件，查找pass.txt文件。

volatility.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 filescan|findstr pass

volatility.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007e4cedd0 -D .

flag{GalaxManager_2012}

4.请找到攻击者创建的用户

通过注册表、ntuser.ini等文件变化，推测攻击者创建的用户为ASP.NET,得到flag。

另外创建用户日志会记录在安全日志中，找到安全日志搜索事件ID 4720得记录

volatility.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 filescan|findstr Security.evtx

volatility.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007e744ba0 -D .

flag{ASP.NET}

5.攻击者利用跳板rdp登录的时间

利用上面导出得安全日志，登陆成功事件ID：4624，第一题知道了跳板机地址：192.168.60.220

flag{2024/12/21 0:15:34}

6.攻击者创建用户的密码哈希值

第4题已经解出

flag{5ffe97489cbec1e08d0c6339ec39416d}

五、逆向破解

菜鸡不懂，详情见官方WP

六、综合应急

1.综合答题

官方拓扑

题目给出了主机的日志信息，仅仅通过日志分析出整个攻击路径确实比较困难，详情见官方WP

2.攻击者上传了代理工具，请写出他的最终存放路径

分析图来源：安全狐公众号

C:\Users\Administrator\Desktop\333.exe