應急響應
身為顏狗的我是真心覺得lovelymem的ui寫得~~~~
【任務1】應急大師
題目描述:請提交隱藏用戶的名稱?
print打印注冊表,或者開啟環境是就有
【任務4】應急大師
題目描述:請提交黑客創建隱藏用戶的TargetSid(目標賬戶安全ID)?
wmic useraccount get name,sid,statue看到Sid
【任務5】應急大師
題目描述:請提交黑客創建隱藏賬戶的事件(格式為 年/月/日 時:分:秒)?
安全日志看4720
【任務6】應急大師
題目描述:請提交黑客創建隱藏賬戶的事件(格式為 年/月/日 時:分:秒)?
一個個看查看用戶
【任務2】應急大師
題目描述:請提交黑客的IP地址?
網絡鏈接看到IP
【任務7】應急大師
題目描述:黑客通過遠程桌面成功登陸系統管理員賬號的網絡地址及端口號?提交格式為 IP:PORT 如 127.0.0.1:41110
查看網絡鏈接看到IP
【任務3】應急大師
題目描述:請提交黑客的一句話木馬密碼?
網站根目錄下的/public/uploads目錄看到木馬文件
公交車系統攻擊事件排查
思而聽公交系統被黑客攻擊,黑客通過web進行了攻擊并獲取了數據,然后獲取了其中一位駕校師傅在FTP服務中的私密文件,其后黑客找到了任意文件上傳漏洞進行了GETshell,控制了主機權限并植入了挖礦網頁挖礦病毒,接下來你需要逐步排查。
注意:
流量中的21端口對應2121、80端口對應8090。
root的SSH密碼為bussec123,第二個地址是SSH地址。
請勿在此提交FLAG,請前往具體任務提交,如【任務1】公交車系統攻擊事件排查 提交。
【任務1】公交車系統攻擊事件排查
分析環境內的中間件日志,找到第一個漏洞(黑客獲取數據的漏洞),然后通過分析日志、流量,通過腳本解出黑客獲取的用戶密碼數據,提交獲取的前兩個用戶名,提交格式:flag{zhangsan-wangli}
明顯的sqlmap特
按username往后翻發現排序了,這就說明hack在查表(查bus_system.bus_drivers)了
在src/includes看到數據庫用戶和密碼
鏈上去查下數據庫
flag{sunyue-chenhao}
【任務2】公交車系統攻擊事件排查
黑客通過獲取的用戶名密碼,利用密碼復用技術,爆破了FTP服務,分析流量以后找到開放的FTP端口,并找到黑客登錄成功后獲取的私密文件,提交其文件中內容,提交格式:flag{xxx}
home目錄下的wangqing目錄中存在ftp文件
【任務3】公交車系統攻擊事件排查
可惡的黑客找到了任意文件上傳點,你需要分析日志和流量以及web開放的程序找到黑客上傳的文件,提交木馬使用的密碼,提交格式:flag{password}
在/public/upload目錄下有一個類似“冰蝎”的馬(應該是哥斯拉),cat看到密碼
【任務4】公交車系統攻擊事件排查
分析流量,黑客植入了一個web挖礦木馬,這個木馬現實情況下會在用戶訪問后消耗用戶的資源進行挖礦(本環境已做無害化處理),提交黑客上傳這個文件時的初始名稱,提交格式:flag{xxx.xxx}
看了大佬得博客說“根據之前的哥斯拉馬解密”,看根目錄下的流量包解密流量數據
【任務5】公交車系統攻擊事件排查
分析流量并上機排查,黑客植入的網頁挖礦木馬所使用的礦池地址是什么,提交礦池地址(排查完畢后可以嘗試刪除它)提交格式:flag{xxxxxxx.xxxx.xxx:xxxx}
看大佬的博客說的是“web挖礦木馬,依賴用戶瀏覽器前端,只能是js嘍,直接看主頁,發現混淆js"
轉成ascill碼得gulf.moneroocean.stream:10128
取證專項
【任務1】VOL_EASY
題目描述:黑客上傳的一句話木馬密碼是多少?
?內存也可以iehistory看到編輯了一個php文件
查看得到木馬的連接密碼
【任務2】VOL_EASY
題目描述
黑客使用的木馬連接工具叫什么(比如xx.exe)?(僅首字母大寫)
查看進程看到蟻劍
【任務3】VOL_EASY
題目描述
黑客使用的木馬連接工具的位置在哪里(比如C:\xxxx\xx.exe) ?
Cmdline看到路徑
【任務4】VOL_EASY
題目描述
黑客獲取到的FLAG是什么?
editbox看到flag
【任務5】VOL_EASY
題目描述
黑客入侵的網站地址是多少(只需要http://xxxxx/)?
iehistory看到訪問網站的url
【任務6】VOL_EASY
題目描述
黑客入侵時,使用的系統用戶名是什么?
系統只有連個用戶Administros和Guest(solar是攻擊者建的隱藏用戶),Gues權限不夠,所以
黑客入侵時,使用的系統用戶名是Administros
或者看日志
【任務7】VOL_EASY
題目描述:黑客創建隱藏賬戶的密碼是多少?
攻擊信息位于蟻劍內存中
【任務8】VOL_EASY
題目描述:黑客首次操作靶機的關鍵程序是什么?
【任務9】VOL_EASY
題目描述:該關鍵程序的PID是多少?
【任務10】VOL_EASY
題目描述:該關鍵程序的內存文件保存到了什么地
yarascan ???????Scan process or kernel memory with Yara signature
