xcellencw的博客

声明：为了方便查找题目类型和基本做题思路，所以本人作文章为笔记，必然有不足之处，请大家指正。比赛题的质量都很好，但本人目前所学不多，能力有限，所以又把基础题wp写了一遍。

小路是一名网络安全网管，据反映发现公司主机上有异常外联信息，据回忆前段时间执行过某些更新脚本（已删除），现在需要协助小路同学进行网络安全应急响应分析，查找木马，进一步分析，寻找攻击源头，获取攻击者主机权限获取flag文件。题目6：分析题目3中持久化程序（下载者），找到攻击者分发远控木马使用的服务器，并获取该服务器权限，找到flag，结果提交形式：flag{xxxx}。题目3：找出主机上加载远控木马的持久化程序（下载者），其功能为下载并执行远控木马，计算该文件的MD5, 结果提交形式：flag{MD5}。

攻击者通过AD CS提权至域管理员，在攻击过程中，攻击者使用有问题的证书模版注册了一张证书，该证书的证书模版名、证书序列号是什么？附件拿到几个文件，用所给的工具打开File->Add Evidence Item->Image File。既然找证书，就可以试着找证书相关的文件，如下图式：CertLog(certificate log)No177是我们要找的，再 右键 -> 追踪流 -> TCP，找到了key的字段。里边有一个hack-CA.ebp文件，用另一个分析数据的工具打开。即可找到证书模板名-序列号。

拿到两个文件，flag.png拿去扫了，扫出来没东西smn.txt发现感觉像base64反转了的，试试翻转过来，转化为图片。Reverse->Base64->Render Image（图像渲染）图片分解一下，里边有一个文件manbo，提取出来，又得到一张easy.png，根据提示可知解压密码XYCTF2025，解出又得到一个EASY.png，图片看起来一样都。两张图片一样，这里用到盲水印（工具Blind-WaterMark）

TGctf，很多不会的

第一次正式的电子取证

25龙信杯部分取证。取证挺有意思

25数证杯部分wp

本文通过多个网络安全案例分析展示了攻击者的入侵手法与取证方法。主要内容包括：1）通过流量分析识别被入侵主机IP(192.168.246.28)和攻击者使用的SSH密码；2）发现Redis服务被植入挖矿程序(/etc/redis/redis-server)，连接矿池donate.v2.xmrig.com；3）识别出Shiro反序列化漏洞和攻击者IP(81.70.166.3)；4）分析蚁剑连接密码(6ea280898e404bfabd0ebb702327b19f)及下载的恶意文件；5）发现Spring框架漏洞