2024第一届Solar杯应急响应挑战赛

题目描述

本题作为签到题请给出邮服发件顺序。

Received: from mail.da4s8gag.com ([140.143.207.229])  
by newxmmxszc6-1.qq.com (NewMX) with SMTP id 6010A8AD  
for ; Thu, 17 Oct 2024 11:24:01 +0800  
X-QQ-mid: xmmxszc6-1t1729135441tm9qrjq3k  
X-QQ-XMRINFO: NgToQqU5s31XQ+vYT/V7+uk=  
Authentication-Results: mx.qq.com; spf=none smtp.mailfrom=;  
dkim=none; dmarc=none(permerror) header.from=solar.sec  
Received: from mail.solar.sec (VM-20-3-centos [127.0.0.1])  
by mail.da4s8gag.com (Postfix) with ESMTP id 2EF0A60264  
for ; Thu, 17 Oct 2024 11:24:01 +0800 (CST)  
Date: Thu, 17 Oct 2024 11:24:01 +0800  
To: hellosolartest@qq.com  
From: 鍏嬪競缃戜俊  
Subject:xxxxxxxxxx  
Message-Id: <20241017112401.032146@mail.solar.sec>  
X-Mailer: QQMail 2.x  

XXXXXXXXXX  
flag格式为flag{domain1|…|domainN}

解题过程

1. mail.solar.sec         ​​​​​​
   1. 邮件最初从 mail.solar.sec的本地发出 (VM-20-3-centos [127.0.0.1])。
   2. 使用 Postfix 通过 ESMTP 协议发往下一跳邮件服务器 mail.da4s8gag.com。
2. mail.da4s8gag.com
   1. mail.solar.sec 将邮件转发到 mail.da4s8gag.com，此服务器接收后继续通过 SMTP 转发到下一跳。
3. newxmmxszc6-1.qq.com
   1. ​​​​​​​​​​​​​​最后，mail.da4s8gag.com将邮件投递到目标邮件服务器 newxmmxszc6-1.qq.com（腾讯邮件服务器）。

邮件发件顺序：

mail.solar.sec → mail.da4s8gag.com → newxmmxszc6-1.qq.com

flag{mail.solar.sec|mail.da4s8gag.com|newxmmxszc6-1.qq.com}

日志分析

日志流量-1

题目描述

题目文件：tomcat-wireshark.zip/web
新手运维小王的Geoserver遭到了攻击：
黑客疑似删除了webshell后门，小王找到了可能是攻击痕迹的文件但不一定是正确的，请帮他排查一下。
flag格式 flag{xxxx}

解题过程

直接D盾一把梭找到一个后门程序b_jsp.java

打开那个java文件直接看到base64

尝试去把base64解压一下

flag{A7b4_X9zK_2v8N_wL5q4}

日志流量-2 

题目描述:

题目文件：tomcat-wireshark.zip/web  
新手运维小王的Geoserver遭到了攻击：  
小王拿到了当时被入侵时的流量，其中一个IP有访问webshell的流量，已提取部分放在了两个pcapng中了。请帮他解密该流量。  
flag格式 flag{xxxx}

解题过程

将 wire. pcapng 丢到 ctf-neta 一把梭里面

修改设置为开启哥斯拉流量解密 

直接拿到flag

flag{sA4hP_89dFh_x09tY_lL4SI4}

内存取证

内存取证 1

题目描述

题目文件：SERVER-2008-20241220-162057  
请找到rdp连接的跳板地址  
flag格式 flag{1.1.1.1}

解题过程

rdp 跳板端口：3389

RDP 默认端口为 3389:首先，查找与端口 3389 相关的连接，因为 RDP 通常使用此端口。

连接状态为 ESTABLISHED：对于正在进行的连接，状态应该是 ESTABLISHED。

flag{192.168.60.220}

内存取证 2 

题目描述

题目文件：SERVER-2008-20241220-162057  
请找到攻击者下载黑客工具的IP地址  
flag格式 flag{1.1.1.1}

解题过程

推测黑客 ip 地址肯定是外网

发现第一个提交了前面 ip 发现成功了

flag{155.94.204.67} 

内存取证 3 

题目描述

题目文件：SERVER-2008-20241220-162057  
攻击者获取的“FusionManager节点操作系统帐户（业务帐户）”的密码是什么  
flag格式 flag{xxxx}

解题过程

flag{GalaxManager_2012} 

内存取证 4  

题目描述

题目文件：SERVER-2008-20241220-162057  
请找到攻击者创建的用户  
flag格式 flag{xxxx}

解题过程

账号:ASP.NET

flag{ASP.NET}

内存取证 5 

题目描述

题目文件：SERVER-2008-20241220-162057  
请找到攻击者利用跳板rdp登录的时间  
flag格式 flag{2024/01/01 00:00:00}

解题过程

因192.168.60.220是rdp跳板的ip所以对应PPID是1908

 搜到了1908对应utc

但是有个 UTC 要转换成 CST

from datetime import datetime, timedelta
 
 
def convert_utc_to_beijing(utc_time_str):
    try:
        # 解析 UTC 时间字符串
        utc_time = datetime.strptime(utc_time_str, '%Y-%m-%d %H:%M:%S')
 
        # 转换为北京时间（UTC+8）
        beijing_time = utc_time + timedelta(hours=8)
 
        # 返回北京时间字符串
        return beijing_time.strftime('%Y-%m-%d %H:%M:%S')
    except ValueError:
        return "时间格式不正确，请使用 'YYYY-MM-DD HH:MM:SS' 格式"
 
utc_time = "2024-12-20 16:15:34"
beijing_time = convert_utc_to_beijing(utc_time)
print(f"UTC时间: {utc_time}")
print(f"北京时间: {beijing_time}")

flag{2024-12-21 00:15:34}

 内存取证 6

题目描述

题目文件：SERVER-2008-20241220-162057  
请找到攻击者创建的用户的密码哈希值  
flag格式 flag{XXXX}

根据内存取证4拿到攻击者密码

flag{5ffe97489cbec1e08d0c6339ec39416d}