第二届parloo杯应急响应挑战赛应急部分WP-先知社区

应急响应之畸形的爱

应急响应1-1

题目描述

提交攻击者使用的攻击ip地址1

flag格式为：palu{xxxx}

图片加载失败

日志中发现大量的192.168.31.240的访问日志，并且访问的是一句话木马

图片加载失败

palu{192.168.31.240}

应急响应1-2

题目描述

提交攻击者使用的攻击ip地址2.

flag格式为：palu{xxxx}

在聊天记录中发现文件传输

图片加载失败

解压发现简历.exe

图片加载失败

不出所料，上传沙箱分析为恶意文件

palu{192.168.31.11}

应急响应1-3

题目描述

题解攻击者暴力破解开始时间。

flag为:palu{xx:xx:xx:xx}

使用docker logs 680140查看docker日志

图片加载失败

根据前面获取的攻击者IP在docker日志中发现了暴力破解行为

网页的暴力破解一般通常跟登录框匹配可以配合POST来进行快速定位

图片加载失败

palu{2025-05-02-03:05:58}

应急响应1-4

题目描述

提交攻击者留下的flag1

格式为palu{xxx}

计划任务中发现flag1

图片加载失败

palu{pc3_zgsfqwerlkssaw}

应急响应1-5

题目描述

提交攻击者留下的flag2

格式为：palu{xxxx}

在最近使用的文件中发现a.bat，发现flag2

图片加载失败

palu{nizhidaowoyouduoainima}

应急响应1-6

题目描述

提交攻击者留下的flag3

提交格式为：palu{xxxx}

在网页文件中找到数据库账户密码

图片加载失败

连接数据库，发现可疑信息

图片加载失败

base64解密发现flag3

palu{sqlaabbccsbwindows}

应急响应1-7

题目描述

提交钓鱼文件的哈希32位大写

还是这个文件

图片加载失败

转换为大写

palu{2977CDAB8F3EE5EFDDAE61AD9F6CF203}

应急响应1-8

题目描述

提交攻击者留下的webshell-1密码

格式为：palu{xxxx}

图片加载失败

就是a.php

palu{00232}

应急响应1-9

题目描述

提交攻击者开放端口

格式为：palu{xxx,xxx,xxx}

应急响应1-10

题目描述

提交攻击者留下的webshell密码2

格式为：palu{xxxx}

在日志里发现了shell.php

图片加载失败

palu{hack}

应急响应1-11

题目描述

提交攻击者留下的隐藏账户的密码

flag格式为：palu{xxxx}

在win10中发现隐藏用户

图片加载失败

上传mimikatz查看用户密码

图片加载失败

但是sekurlsa::logonpasswords没看见system$用户的信息

使用lsadump:sam尝试查看hash值

图片加载失败

发现报错，错误代码

0x00000005

对应的是Windows系统错误中的“访问被拒绝”（ERROR_ACCESS_DENIED）。这表明Mimikatz在尝试访问注册表中的SAM账户信息时，权限不足，无法打开相应的注册表键。

使用

token::elevate

来进行提权，

token::elevate

命令用于提升当前进程的权限令牌，原理就是Mimikatz 会查找以

SYSTEM

身份运行的进程使用 Windows API（如

OpenProcessToken

DuplicateTokenEx

）复制目标进程的令牌然后将复制的

SYSTEM

令牌附加到当前进程（Mimikatz），替换原有令牌达到权限提升的目的。

权限提升后再次执行就可以看见system$用户的信息了

图片加载失败

最后将用户的hash值上传cmd5解密就是最终flag了

图片加载失败

palu{wmx_love}

应急响应1-12

题目描述

[溯源]攻击者的邮箱.

flag格式为：palu{xxx}

应急响应1-13

题目描述

提交溯源后得到的flag

flag格式为：palu{xxx}

solar_Linux后门排查

题目描述

跳板机疑似被遗留后门,请排查

1、找到可疑进程完整路径

2、找到被横向的服务器IP

3、连接被横向服务器

flag格式为 flag{base64{完整路径}|服务器IP|服务器中flag文本}

root:Solar@2025_05_palu!

攻击者IP:49.232.112.164

图片加载失败

这台服务器与横向服务器的连接，在 MySQL、Redis、Nginx 和 SSH 等进程启动之前就已经完成了。

继续查看发现docker守护进程

图片加载失败

然后再环境变量中发现了flag

图片加载失败

但是最后还是没交对

应急主线

应急响应2-1

题目描述

提交堡垒机中留下的flag

图片加载失败

根据资产清单登录堡垒机admin/Skills@2020

图片加载失败

在标签列表处发现flag

应急响应2-2

题目描述

提交WAF中隐藏的flag

图片加载失败

同样根据资产清单信息登录waf admin/VF6NXMs7

图片加载失败

在身份认证处发现flag

palu{2025_waf}

应急响应2-3

题目描述

提交Mysql中留下的flag

图片加载失败

使用资产清单给的账户密码连接数据库root/mysql_QPiS8y

图片加载失败

发现flag

palu{Mysql_@2025}

应急响应2-4

题目描述

提交攻击者的攻击IP

在waf上看看有哪些攻击行为

图片加载失败

发现192.168.20.107/192.168.20.108都存在攻击行为

最终提交192.168.20.107为flag

palu{192.168.20.107}

应急响应2-5

题目描述

提交攻攻击者最早攻击时间flag格式为palu{xxxx-xx-xx-xx-xx-xx}

图片加载失败

进入攻击日志可以查看更详细的攻击行为和记录

图片加载失败

直接翻到最后，找到最早攻击的时间。但是题目的flag格式有点问题按描述的格式提交不对

正确提交格式：palu{2025-05-05-00:04:40}

应急响应2-6

题目描述

提交web服务泄露的关键文件名

登录到waf主机的命令行，查看docker启动了哪些服务

图片加载失败

发现nginx，进到服务器看看有什么

图片加载失败

日志有点多，筛选状态码为200的访问日志

图片加载失败

发现key.txt提交发现是正确flag

palu{key.txt}

应急响应2-7

题目描述

题解泄露的邮箱地址

图片加载失败

根据上一题定位到文件位置，发现parloo@parloo.com

palu{parloo@parloo.com}

应急响应2-8

题目描述

提交立足点服务器ip地址

图片加载失败

在攻击日志发现192.168.20.108一直在漏扫

palu{192.168.20.108}

应急响应2-9

题目描述

提交攻击者使用的提权的用户和密码

应急响应2-10

题目描述

提交攻击者留下的的文件内容作为flag提交

这里需要登录到sshserver

在登录的时候会发现一直卡着进不去，可以使用ctrl+c就能进去，后面会解释原因

图片加载失败

但是原命令行交互体验实在不行，这时候我想xshell连接

图片加载失败

不出意外，又卡住了，并且输入不了ctrl+c了

图片加载失败

这时候就需要kill掉这个罪魁祸首了

图片加载失败

成功连接

命令解释：

解决了交互问题后，正式做题

图片加载失败

在home目录下发现攻击者留下的的文件

palu{hi_2025_parloo_is_hack}

应急响应2-11

题目描述

提交权限维持方法服务的名称

应急响应2-12

题目描述

提交攻击者攻击恶意服务器连接地址作为flag提交

在parloo-子怡和parloo沉沉对话中发现可以文件，上传沙箱分析下

图片加载失败

这里可以使用渊龙的导航站，里面收录了大量的优秀网站，需要什么直接搜很方便

图片加载失败

在奇安信沙箱中发现了恶意服务器连接地址

图片加载失败

palu{47.101.213.153}

应急响应2-13

题目描述

找到系统中被劫持的程序程序名作为flag提交

应急响应2-14

题目描述

找到系统中存在信息泄露的服务运行端口作为flag提交

图片加载失败

访问发现存在信息泄露

图片加载失败

palu{8081}

应急响应2-15

题目描述

提交Parloo公司项目经理的身份证号作为flag提交

根据上题的信息泄露，访问网页

图片加载失败

发现完整身份证信息

图片加载失败

palu{310105198512123456}

应急响应2-16

题目描述

提交存在危险功能的操作系统路径作为flag提交。flag格式为palu{/xxx/xxx}

发现一个路由

图片加载失败

访问发现可以执行命令

图片加载失败

palu{/admin/parloo}

应急响应2-17

题目描述

提交进源机器中恶意程序的MD5作为flag进行提交。 flag格式为palu{MD5小写}

应急响应2-18

题目描述

提交攻击者留下的恶意账户名称md5后作为flag进行提交。格式为palu{md5{xxxxx}}

palu03开机发现恶意账户

图片加载失败

palu{d78b6f30225cdc811adfe8d4e7c9fd34}

应急响应2-19

题目描述

提交内部群中留下的flag并提交

nwt进群聊看聊天记录就可以看到

图片加载失败

palu{nbq_nbq_parloo}

应急响应2-20

题目描述

请提交攻击者使用维护页面获取到的敏感内容作为flag进行提交

在日志里有一个palu{的关键字，但是我后面去找不知道去哪了

应急响应2-21

题目描述

提交获取敏感内容IP的第一次执行命令时间作为flag进行提交。flag格式为palu{xxxx-xx-xx:xx:xx:xx}

图片加载失败

在历史记录中发现查看了一个日志文件

图片加载失败

发现存在执行命令的操作，将首次攻击的时间作为flag提交

palu{2025-05-04-15:30:38}

应急响应2-22

题目描述

提交攻击者使用的恶意ip和端口flag格式为palu{xx.xx.xx.xx:xxxx}

同一个文件往下翻

图片加载失败

palu{10.12.12.13:9999}

应急响应2-23

题目描述

提交重要数据的名文内容作为flag提交

图片加载失败

桌面发现这个但是解密不了，文件属性也没发现可用信息

应急响应2-24

题目描述

提交恶意维权软件的名称作为flag进行提交

应急响应2-25

题目描述

提交恶意程序的外联地址

应急响应2-26

题目描述

提交攻击这使用的恶意dnslog域名作为flag进行提交

还是应急响应2-21的日志文件

图片加载失败

日志中发现域名前加里命令有点像dnslog

图片加载失败

palu{np85qqde.requestrepo.com}

应急响应2-27

题目描述

提交寻找反序列化漏洞的端口作为flag进行提交

图片加载失败

palu{9999}

应急响应2-28

题目描述

提交web服务泄露的密钥作为flag进行提交

应急响应2-29

题目描述

提交攻击者开始攻击的时间作为flag进行提交。flag各式为palu{xxxx/xx/xx:xx:xx:xx}

应急响应2-30

题目描述

提交攻击者在server中留下的账户密码作为flag进行提交。flag格式为palu{username/password}

应急响应2-31

题目描述

提交攻击者维权方法的名称作为flag进行提交

应急响应2-32

题目描述

提交攻击者留下的木马md5后作为flag进行提交

发现攻击者用户目录下存在可执行文件

图片加载失败

palu{4123940b3911556d4bf79196cc008bf4}

应急响应2-33

题目描述

提交攻击者留下的溯源信息作为flag进行提交

在palu02的流量器中发现存在登录信息

图片加载失败

查看用户时发现攻击者留下的信息

palu{X5E1yklzoAdyHBZ}

应急响应2-34

题目描述

提交攻击者的githubID作为flag进行提交

应急响应2-35

题目描述

提交攻击者在github下留下的的内容作为flag进行提交

应急响应2-36

题目描述

提交恶意用户的数量作为flag进行提交

启动就发现大量用户存在

图片加载失败

net user发现有99个

palu{99}

应急响应2-37

题目描述

提交恶意用户的默认密码作为flag进行提交

在palu01上打开，在根目录有隐藏文件

图片加载失败

palu{123456}

应急响应2-38

题目描述

提交业务数据中攻击者留下的信息作为flag进行提交

在网站中发现flag关键字

图片加载失败

登录数据库在user表中发现flag信息

图片加载失败

应急响应2-39

题目描述

提交私人git仓库中留下的内容作为flag进行提交

在server01的docker服务中发现git

图片加载失败

git ls-tree -r main

是 Git 中用于递归列出指定分支（这里是

main

分支）中所有文件和目录的命令。

图片加载失败

palu{FO65SruuTukdpBS5}

应急响应2-40

题目描述

提交存在在mysql服务器中的恶意程序的MD5作为flag进行提交

登录发现隐藏可执行文件

图片加载失败

palu{ba7c9fc1ff58b48d0df5c88d2fcc5cd1}

应急响应2-41

题目描述

提交恶意程序中模拟c2通信的函数名称作为flag进行提交

分析/root目录下.a文件

图片加载失败

palu{simulate_network_communication}

应急响应2-42

题目描述

提交恶意程序创建隐藏文件的名称作为flag提交

分析/root目录下.a文件

图片加载失败

palu{.malware_log.txt}

应急响应2-43

题目描述

提交恶意程序中模拟权限提升的函数作为flag进行提交

分析/root目录下.a文件

图片加载失败

palu{simulate_privilege_escalation}

应急响应2-44

题目描述

提交被钓鱼上线的用户名作为flag进行提交

应急响应2-45

题目描述

提交恶意程序的所在路径作为flag进行提交

这里就是上面应急响应2-12的文件

图片加载失败

应急响应2-46

题目描述

分析恶意程序的反连地址作为flag进行提交

图片加载失败

不多赘述跟应急响应2-12一样

应急响应2-47

题目描述

提交恶意c2的服务器登录的账号密码作为flag进行提交。flag格式为palu{username/password}