2025年Solar应急响应公益月赛-3月-Writeup-先知社区

窃密排查

1-找到黑客窃密工具的账号

通过查看root家目录下的文件，发现

mega服务，有根据题目描述：

发现内部数据被窃取，进行紧急上机。请通过黑客遗留痕迹进行排查

确定此服务即是黑客窃密工具。

在其中找到日志得到账号：

溯源排查

1-某企业的阿里云服务器，现已将镜像从阿里云下载下来，该服务器存在奇怪的外连，请排查出外连地址

我们先把得到镜像进行密码破解，经过日志查看，发现存在yum日志，推测是Centos系统。先把密码重置

进行密码清除重置：

成功重置以后，利用FTK进行仿真挂载并用账号

进行登录

成功登录！

回到题目，要查出外联地址，这里我就用监听网卡的流量，然后分析流量包即可

ps(不知道为什么，我后面再次挂载镜像的时候，识别不了网卡了，此次是第一次挂载时，能够成功识别网卡)

分析数据包发现大量udp包执行同一个ip

得到flag{156.238.230.167}

2-排查外连进程程序的绝对路径

仿真以后看top：

发现一个进程名：journaled的进程，总是在反复执行，猜测为外联程序

利用find命令得到地址

4-业务系统已被删除，找出可能存在漏洞的应用

这里使用R-STUDIO挂载时，就发现nacos文件夹

成功得到存在漏洞的应用

得到flag{nacos}

5-请提交漏洞cve编号

由于根据前三问，知道上传了木马及后门，那漏洞可能造成的就是RCE。直接搜索

成功得到漏洞，

得到flag{CVE-2023-45001}

6-找出黑客利用漏洞使用的工具的地址，该工具为开源工具

根据5中的连接，即是开源工具的地址：

2503逆向

要解密由给定代码加密的 flag.txt.freefix 文件，我们需要利用对称加密算法（RC4）的特性，使用相同的密钥再次应用加密过程即可解密。由于密钥基于 GetTickCount() 生成的种子，我们可以通过枚举可能的种子值来暴力破解密钥。

让ai写一个代码，我们能从ida中得到字符集：

得到flag{hello_www.sierting.com_fodhaoijsa08324082}

【签到】和黑客去Battle把！

访问地址登录以后

成功得到flag:

flag{H7Q44S85842W6TQZPERS72ED}