文章目录

一、序言

二、背景信息

三、网络拓扑

四、资产清单

五、应急响应题目

---

一、序言

也是终于把帕鲁杯应急响应完整做一遍了，主办单位真用心了，这么大环境，总结下来还是很有收获，但是毕竟是做题有时候不知道出题人意图不太清楚去哪找答案，实际中也是只有你足够熟悉网络架构与系统服务，才能更快的找到问题所在。

wp参考：帕鲁杯应急响应wp

二、背景信息

​在这个跳跃的数字舞台上，数据安全成了政企单位稳航的重要压舱石。某政企单位，作为一艘驶向未来的巨轮，对数据的把控丝毫不敢松懈。眼下，我们即将启航一场无与伦比的探险——“信息安全探索之旅”。

​这趟旅程的目的是遍访我们的信息系统每一个角落，探寻隐藏在暗处的风险海怪，提升船员们对数据宝藏的守护意识，确保我们的珍贵资讯宝藏不被外界窥见，不受损害，随时准备发挥其价值。在这场航旅中，某政企单位期望锻造一副更加坚不可摧的数据防护铠甲，增强面对意外风暴的航行能力。

​你和你的团队，作为这次探险的领航员，将借助先进的应急响应罗盘，对我们的内部信息航道进行全域的安全梳理。从网络的海洋到系统的天空，从数据库的深渊到应用的岛屿，无一处不在你们的巡航范围之内。我们将特别防范那些潜伏的数据海盗——数据泄露、非法入侵、恶意攻击，以及物联网设备安全上的狂风骤雨。

​让我们携手共航，把这次“信息安全探索之旅”变成一个传奇，确保我们的信息系统像最强大的舰队领航者一样，勇敢、可靠、无所畏惧。向着更安全的港湾，全速前进！

三、网络拓扑

四、资产清单

五、应急响应题目

1. 提交:[堡垒机的flag标签的值]

登录到堡垒机

[BrYeaVj54009rDIZzu4O]

2. 提交攻击者第一次登录时间

格式为:[2024/00/00/00:00:00]

JumpServer切换到审计台，日志审计-登陆日志获取登陆成功信息

由于登陆城市 LAN 与其他显示 局域网 不一致

可判断 这一条为攻击者第一次登录时间

[2024/04/11/14:21:18]

3. 提交攻击者源IP

格式为:[0.0.0.0]

可观察系统登录的IP，往上面猜测

[192.168.1.4]

4. 提交攻者使用的cve编号

格式为:[CVE-0000-0000]

可搜索jumpserver堡垒机v3漏洞，多次尝试

[CVE-2024-29201]

5. 提交攻击者留着web服务器上的恶意程序的32位小写md5

格式为:[xxxxxx]

由于没有web服务器的登录信息，尝试在堡垒机上找记录，查找是否有向web服务器上传恶意程序的记录

发现也不能下载文件，然后去查找了命令记录

[84413332e4e7138adc5d6f1f688ddd69]

6. 分析恶意程序连接地址和密码

格式为:[md5(地址)-md5(密码)]全小写

这里似乎需要提取home文件进行分析才行，没什么思路，堡垒机也不能导出文件，而且也没有上传的记录

看了其他佬的wp，可以将vmdk放到DiskGenius里分析，提取出home文件然后反编译看源码（不会，也懒得操作了）

[md5(82.157.238.111)-md5(1qaz@WSX3edc)]

7. 提交存在反序列化漏洞的端口

格式为:[md5(端口)]

看到漏洞相关，想到去waf上看信息

[md5(8080)]

8. 提交攻击者使用的后门路由地址

格式为:[md5(/api/xxx)]

没什么思路，在waf上找了一圈没找到，看wp在会话记录中可以看到

[md5(/api/system)]

9. 提交dnslog反弹域名

格式为:[md5(域名)]

这里没找到，看wp提示可以找doker日志还有就是像前面直接分析虚拟机文件去找

[md5(0vqkht.palu.cn)]

10. 提交第一次扫描器使用时间

格式为:[2024/00/00/00:00:00]

找到log文件

时间戳转换成时间

[2024/04/15/02:26:59]

11. 提交攻击者反弹shell使用的语言

格式为:[md5(c++&java)]均为小写

同样在日志中查找

[md5(python)]

12. 提交攻击者反弹shell的ip

格式为:[xxx.xxx.xxx.xxx]

11题中就可以看到连接的IP，端口是7890

[82.157.238.174]

13. 提交攻击者留下的账号

格式为:[xxxxx]

账号去/etc/passwd中查找

[palu.com]

14. 提交攻击者的后门账户密码

格式为:[md5(password)]

账号密码去/etc/shadow中查找

复制到文档中利用john解密

[md5(123123)]

15. 提交测试数据条数

格式为[md5(xxx)]

这里测试数据我不知道指什么，wp解释

连接数据库MYSQL Server 1 查看palu_ctf库中user表

[md5(5)]

16. 请提交攻击者留下的信息

格式为:[xxxx]

可以去日志中找找

在/var/log/nginx/下存在 hacktext

[flag{hi_palu_f10g}]

17. 请提交运维服务器上的恶意文件md5小写32

格式为:[xxxx]
和第五题类似，在堡垒机命令记录处搜索MD5,找到运维服务器的记录，查看回放

[0fca0f847a45401c878d7a5303ddc1f8]

18. 提交恶意文件的恶意函数

格式为:[md5(恶意函数)]
尝试ssh连接堡垒机下载恶意文件显示拒绝连接
即在服务器上开启个http服务进行下载
Find / -name “helloworld”
Cd /usr/lib
Python3 -m http.server 8081
wget http://192.168.20.11:8081/helloworld

再用ida反编译打开找函数
师傅们认为haveadoor为恶意函数 flag却是begingame
[md5(begingame)]
19. 请提交攻击者恶意注册的恶意用户条数
格式为:[md5(x)]
Webserver页面为discuz论坛

搜索一下存放用户信息的表在哪

找到这个表

恶意注册的恶意用户条数为10条
[md5(10)]
20. 请提交对博客系统的第一次扫描时间
格式为:[[2024/00/00/00:00:00]
这里其实有点不明白为什么是16号，因为之前也有攻击流量，可能是16号宣布比赛启动？

[2024/04/16/21:03:46]
21. 提交攻击者下载的文件
格式为[xxxx.xxx]
可在waf上看到webserver上存放的文件，可以看到请求次数，我这里可能是环境原因都是0

[upload.zip]
22. 请提交攻击者第一次下载的时间
格式为:[xx/Apr/2024:xx:xx:xx]
上面知道了下载了upoad.zip文件，看下载时间就去找日志/var/log/apache2/other_vhosts_access.log

[16/Apr/2024:09:03:52]
23. 请提交攻击者留下的冰蝎马的文件名称
格式为:[xxxx]
将web根目录复制下来查杀/var/www/html

[nidewen.php]
24. 提交冰蝎的链接密码
格式为:[xxx]

key为md5前十六位（在github搜代码)

[nidewen]
25. 提交办公区存在的恶意用户名
格式为:[xxx]
在pc1登录处可看到hacker账户，一般的是去看用户组和注册表排查

[hacker]
26. 提交恶意用户密码到期时间
格式为:[xxxx]
Net user hacker

[2024/5/28/21:40:37]

27. 请对办公区留存的镜像取证并指出内存疑似恶意进程
格式为:[xxxx]
不会内存取证，参考的wp
vol.py -f /root/raw.raw imageinfo //查看镜像

vol.py -f /root/raw.raw --profile=Win7SP1x64 pslist //查看进程

[.hack.ex]
28. 请指出该员工使用的公司OA平台的密码
格式为:[xxxx]
vol.py -f /root/raw.raw --profile=Win7SP1x64 filescan | grep "pass"
根据filescan 筛选pass，dumpfiles提取出文件
vol.py -f /root/raw.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e296f20 -D ./

url: http://test.oa.com/login.html
username: liuling
password: liuling7541
[liuling7541]
29. 攻击者传入一个木马文件并做了权限维持，请问木马文件名是什么
格式为:[xxxx]
vol.py -f /root/raw.raw --profile=Win7SP1x64 clipboard

[h4ck3d!]
30. 请提交该计算机中记录的重要联系人的家庭住址
格式为:[xxxxx]
可以先filescan桌面
vol.py -f /root/raw.raw --profile=Win7SP1x64 filescan | grep "Desktop"

可以搜用户栏或者指定用户
vol.py -f /root/raw.raw --profile=Win7SP1x64 filescan | grep "admin"

有 Contacts文件夹 我们可以进一步过滤
vol.py -f /root/raw.raw --profile=Win7SP1x64 filescan | grep "contact"

dumpfiles 数据
vol.py -f /root/raw.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003de90340 -D ./
cat file.None.0xfffffa800cdbc010.dat

[秋水省雁荡市碧波区千屿山庄1号]
31. 请提交近源靶机上的恶意文件哈希
格式为:[xxx]
登陆pc2发现会自动打开文件夹，并在启动目录下，猜测为恶意程序

[a7fcd0b15a080167c4c2f05063802a6e]
32. 提交恶意程序的外联地址
格式为:[xxxxx]
微步沙箱分析

[101.78.63.44]
33. 提交攻击者使用内网扫描工具的哈希
格式为:[xxxx]
一般内网扫描我们想到fsan,在堡垒机上搜索一下

[1facdcd05c43ba4d37274dffc90b6d4e]
34. 请提交攻击者在站点上留下的后门密码
格式为:[xxxx]
前面有题目有提到

[md5(123)]
35. 请提交攻击者在数据库留下的信息
格式为:[xxxx]
连接数据库01
Pre_ucenter_vars表

[flag{hack_palu}]
36. 提交攻击者在监控服务器上留下的dcnlog地址
格式为:[xxx.xx.xx]
MYSQL Server 2 中zabbix库中scripts表中发现 dcnlog地址

[palu.dcnlog.cn]
37. 提交监控服务器上恶意用户的上一次登录时间
格式为:[xx/xx/xx/xx:xx:xx]
登录监控服务器服务进行查看
服务登录信息未知 可以使用默认密码 Admin/zabbix
http://192.168.20.12/zabbix

[2024/04/17/01:32:44]
38. 提交监控服务器上遗留的反弹shell地址和端口
格式为:[xxxx:xx]
找到脚本栏位，并进行base64解码

[154.183.110.12:7890]
39. 提交恶意钓鱼文件的哈希
格式为:[xxxx]
PC02文件

[da75025ff7f3b6baa27f5913c1c83063]
40. 提交恶意文件外联IP
格式为:[xxx]
用了微步和奇安信沙箱分析

117.18.232.200
111.170.15.115
122.228.115.35
52.109.20.46
不知道对不对，没答案
41. 提交被恶意文件钓鱼使用者的姓名
格式为:[xxx]
搜素钓鱼邮件名称，找到

[陈琚鹭]
42. 提交攻击者留下的信息
格式为:[xxxx]
堡垒机查看会话记录

[flag{2024-04-17-hi}]
43. 提交恶意用户数量
格式为:[md5(xxxx)]
请提交员工集体使用的密码
格式为:[xxxx]
除去中文字符 （员工姓名） 系统自带用户，admin+编号/dev+编号/sale+编号 为恶意用户

[md5(49)]
44. 请提交员工集体使用的密码
格式为:[xxxx]
同样是查看会话记录

[Network@2020]
45. 提交加密文件的哈希
格式为:[xxxx]
找到加密文本计算hash即可

[2bf71a0d6d4e70cec7602da2b653e2ab]
46. 提交被攻击者加密的内容明文
格式为:[xxxx]
解密代码参考各位师傅的wp
[2024ispassword]
47. 请提交符合基线标准的服务器数量
格式为:[md5(xx)]
一共就6台主机，但是flag不是

[md5(0)]
48. 提交办公区的恶意文件哈希
格式为:[xxx]
通过堡垒机查看PC2文件传输记录发现有palucomeyi1.exe文件

[5232a191eb2913337e0a93b0a990f2a2]
49. 提交恶意回连端口
格式为:[xxx]
由于程序是python封装的exe文件，涉及到反编译
pyinstxtractor反编译工具：https://github.com/extremecoders-re/pyinstxtractor
pyc反编译工具：https://toolkk.com/tools/pyc-decomplie
python pyinstxtractor.py palucomeyi1.exe

[22]
50. 提交恶意程序中的falg
格式为:[xxx]
由49题代码可知
flag{234567uyhgn_aiduyai}
51. 提交恶意文件中的search_for_text内容
格式为:[xxxx]
由49题代码可知
[passwod]
52. 提交web服务器上攻击者修改后的root密码
格式为:[xxxx]
和14题一样，导出密码进行破解，但是字典里没有跑不出来

[Network@20202020]