Solar应急响应月赛-7月wp
第一次尝试做内存取证,边学边做,花的时间有点长,排名也不怎么高,内容有不对的地方还望指正。
一、 战队信息
二、 解题情况
| 题目名称 | 解出情况 |
|---|---|
| 【任务1】VOL_EASY | 解出 |
| 【任务2】VOL_EASY | 解出 |
| 【任务3】VOL_EASY | 解出 |
| 【任务4】VOL_EASY | 解出 |
| 【任务5】VOL_EASY | 解出 |
| 【任务6】VOL_EASY | 解出 |
| 【任务7】VOL_EASY | 未解出 |
| 【任务8】VOL_EASY | 解出 |
| 【任务1】应急大师 | 解出 |
| 【任务2】应急大师 | 解出 |
| 【任务3】应急大师 | 解出 |
| 【任务4】应急大师 | 解出 |
| 【任务5】应急大师 | 解出 |
| 【任务6】应急大师 | 解出 |
| 【任务7】应急大师 | 解出 |
| 【任务1】公交车系统攻击事件排查 | 解出 |
| 【任务2】公交车系统攻击事件排查 | 解出 |
| 【任务3】公交车系统攻击事件排查 | 解出 |
| 【任务4】公交车系统攻击事件排查 | 未解出 |
| 【任务5】公交车系统攻击事件排查 | 未解出 |
三、 解题过程
取证专项
首先使用imageinfo查看镜像信息
【任务1】VOL_EASY
题目描述
黑客上传的一句话木马密码是多少?
使用iehistory命令查看IE浏览器的历史记录,发现有一个ezshell.php文件
1 | volatility_2.6_win64_standalone.exe -f vol_easy.vmem profile=Win7sP1x64 iehistory |
使用filescan以及grep命令,找到内存地址0x000000007ddf2280
1 | volatility_2.6_win64_standalone.exe -f vol_easy.vmem profile=Win7sP1x64 filescan | grep "ezshell.php" |
使用dumpfiles根据内存地址导出文件到指定目录下
1 | volatility_2.6_win64_standalone.exe -f vol_easy.vmem profile=Win7sP1x64 dumpfiles -Q 0x000000007ddf2280 -D output/ |
查看output目录下的文件
【任务2】VOL_EASY
题目描述
黑客使用的木马连接工具叫什么(比如xx.exe)?(仅首字母大写)
使用pslist查看进程,发现蚁剑的程序
1 | volatility_2.6_win64_standalone.exe -f vol_easy.vmem profile=Win7sP1x64 pslist |
【任务3】VOL_EASY
题目描述
黑客使用的木马连接工具的位置在哪里(比如C:\xxxx\xx.exe) ?
使用dlllist -p <PID>查看程序的位置
1 | volatility_2.6_win64_standalone.exe -f vol_easy.vmem profile=Win7sP1x64 dlllist -p 1716 |
【任务4】VOL_EASY
题目描述
黑客获取到的FLAG是什么?
使用yarascan直接搜索flag
1 | volatility_2.6_win64_standalone.exe -f vol_easy.vmem profile=Win7sP1x64 yarascan -Y "flag{" |
【任务5】VOL_EASY
题目描述
黑客入侵的网站地址是多少(只需要http://xxxxx/)?
用yarascan搜索shell.php字符串,找到IE浏览器的主进程文件(iexplore.exe)中有一个网址
1 | volatility_2.6_win64_standalone.exe -f vol_easy.vmem profile=Win7sP1x64 yarascan -Y "shell.php" |
【任务6】VOL_EASY
题目描述
黑客入侵时,使用的系统用户名是什么?
Windows用户账户信息存储在注册表的SAM hive中。使用hivelist和printkey插件提取
1 | volatility_2.6_win64_standalone.exe -f vol_easy.vmem profile=Win7sP1x64 hivelist |
找到\SystemRoot\System32\Config\SAM的虚拟地址,提取用户列表
1 | volatility_2.6_win64_standalone.exe -f vol_easy.vmem --profile=Win7SP1x64 printkey -o 0xfffff8a0000a8010 -K "SAM\Domains\Account\Users\Names" |
这题靠蒙,只有这两个用户,蒙一个以管理员身份进入
【任务8】VOL_EASY
题目描述
黑客首次操作靶机的关键程序是什么?
黑客可以通过 Mimikatz、Procdump 等工具转储 lsass.exe 内存,提取明文密码、NTLM 哈希、Kerberos 票证,这里使用pstree来查看进程树
应急响应
应急大师
【任务1】应急大师
题目描述
请提交隐藏用户的名称?
打开机子就能看见隐藏账户,或者可以去事件查看器查找事件ID为4720(账户创建)的事件,里面会有隐藏用户名称
【任务2】应急大师
题目描述
请提交黑客的IP地址?
打开事件查看器,应用程序和服务日志–Microsoft-Windows–TerminalServices-RemoteConnectionManager–Operational中找到事件ID为1149的事件,其中就包含了远程连接的IP也就是黑客的IP
【任务3】应急大师
题目描述
请提交黑客的一句话木马密码?
一句话木马很可能从web上传,桌面刚好有个phpstudy,查看apache的目录,
在uploads目录下看到可以php文件,进行查看
【任务4】应急大师
题目描述
请提交黑客创建隐藏用户的TargetSid(目标账户安全ID)?
使用命令wmic useraccount get name,sid查看sid
【任务5】应急大师
题目描述
请提交黑客创建隐藏账户的事件(格式为 年/月/日 时:分:秒)?
这个就必须去看事件查看器了
【任务6】应急大师
题目描述
黑客将这个隐藏用户先后加入了哪几个用户组?提交格式为 第一个用户组-第二个用户组,如student-teacher
打开用户组,看到隐藏账户被加入到这两个组里面,至于先后顺序,肯定是先Users再到Administrators
【任务7】应急大师
题目描述
黑客通过远程桌面成功登陆系统管理员账号的网络地址及端口号?提交格式为 IP:PORT 如 127.0.0.1:41110
首先,明确还是在事件查看器中查看安全日志,筛选出事件ID为4624(登陆成功),根据任务5的隐藏账户时间,大概确认登陆时间在7/23 17:00附近,注意查看找到IP和端口
公交车系统攻击事件排查
首先,拿到网页在失物招领页面发现一个没有过滤的文件上传,上传木马,查看文件上传路径/uploads,哥斯拉连接。
连接之后
【任务1】公交车系统攻击事件排查
题目描述
分析环境内的中间件日志,找到第一个漏洞(黑客获取数据的漏洞),然后通过分析日志、流量,通过脚本解出黑客获取的用户密码数据,提交获取的前两个用户名,提交格式:flag{zhangsan-wangli}
分析access.log,黑客在跑sqlmap,根据查询语句判断他正在使用时间延时盲注来获取信息,定位到username这几行日志,借助ai,让他根据是否延迟,最终确定每个字符,拼接处username
第一个用户:sunyue
第二个用户:chenhao
【任务2】公交车系统攻击事件排查
题目描述
黑客通过获取的用户名密码,利用密码复用技术,爆破了FTP服务,分析流量以后找到开放的FTP端口,并找到黑客登录成功后获取的私密文件,提交其文件中内容,提交格式:flag{xxx}
访问home目录下的wangqing目录中存在ftp文件,并且存在私密文件
【任务3】公交车系统攻击事件排查
题目描述
可恶的黑客找到了任意文件上传点,你需要分析日志和流量以及web开放的程序找到黑客上传的文件,提交木马使用的密码,提交格式:flag{password}
查看shell1.php中,找到木马密码
