第二届parloo杯应急响应挑战赛应急部分教学文档<\/h1>

应急响应基础篇<\/h2>

1-1 攻击IP地址识别<\/h3>

场景<\/strong>：日志中发现大量可疑访问记录<\/li>

方法<\/strong>：

分析访问日志，寻找异常IP（如192.168.31.240）<\/li>
关注访问一句话木马的行为特征<\/li> <\/ul> <\/li>
答案<\/strong>：palu{192.168.31.240}<\/li> <\/ul>
1-2 恶意文件传输识别<\/h3>

场景<\/strong>：聊天记录中发现可疑文件传输<\/li>
方法<\/strong>：

解压发现"简历.exe"文件<\/li>
上传沙箱分析确认为恶意文件<\/li> <\/ul> <\/li>
答案<\/strong>：palu{192.168.31.11}<\/li> <\/ul>
1-3 暴力破解时间定位<\/h3>

场景<\/strong>：分析docker日志(680140)<\/li>
方法<\/strong>：

根据已知攻击者IP筛选日志<\/li>
结合POST请求和登录框特征定位<\/li> <\/ul> <\/li>
答案<\/strong>：palu{2025-05-02-03:05:58}<\/li> <\/ul>
1-4 计划任务中的flag<\/h3>

方法<\/strong>：检查系统计划任务<\/li>
答案<\/strong>：palu{pc3_zgsfqwerlkssaw}<\/li> <\/ul>
1-5 最近使用文件分析<\/h3>

方法<\/strong>：

检查最近使用的a.bat文件<\/li> <\/ul> <\/li>
答案<\/strong>：palu{nizhidaowoyouduoainima}<\/li> <\/ul>
1-6 数据库凭证泄露<\/h3>

方法<\/strong>：

在网页文件中查找数据库账户密码<\/li>
连接数据库发现可疑信息<\/li>
Base64解密获取flag<\/li> <\/ul> <\/li>
答案<\/strong>：palu{sqlaabbccsbwindows}<\/li> <\/ul>
1-7 钓鱼文件哈希计算<\/h3>

方法<\/strong>：

计算文件MD5哈希(32位大写)<\/li> <\/ul> <\/li>
答案<\/strong>：palu{2977CDAB8F3EE5EFDDAE61AD9F6CF203}<\/li> <\/ul>
1-8 Webshell密码识别<\/h3>

方法<\/strong>：分析a.php文件<\/li>
答案<\/strong>：palu{00232}<\/li> <\/ul>
1-10 Webshell密码识别2<\/h3>

方法<\/strong>：在日志中发现shell.php<\/li>
答案<\/strong>：palu{hack}<\/li> <\/ul>
1-11 隐藏账户密码提取<\/h3>

方法<\/strong>：

发现隐藏用户system$<\/li>
使用mimikatz提取密码：
token::elevate <\/span><\/span>lsadump::sam <\/span><\/span><\/code><\/pre><\/li> 解密获取密码<\/li> <\/ul> <\/li> 答案<\/strong>：palu{wmx_love}<\/li> <\/ul> 应急响应进阶篇<\/h2> 2-1 堡垒机flag获取<\/h3> 方法<\/strong>：使用资产清单凭证(admin\/Skills@2020)<\/li> 在标签列表处发现flag<\/li> <\/ul> <\/li> <\/ul> 2-2 WAF隐藏flag<\/h3> 方法<\/strong>：使用凭证(admin\/VF6NXMs7)<\/li> 在身份认证处发现flag<\/li> <\/ul> <\/li> 答案<\/strong>：palu{2025_waf}<\/li> <\/ul> 2-3 MySQL中的flag<\/h3> 方法<\/strong>：使用凭证(root\/mysql_QPiS8y)<\/li> 连接数据库查找flag<\/li> <\/ul> <\/li> 答案<\/strong>：palu{Mysql_@2025}<\/li> <\/ul> 2-4 攻击IP识别<\/h3> 方法<\/strong>：分析WAF攻击日志<\/li> 发现192.168.20.107\/108存在攻击行为<\/li> <\/ul> <\/li> 答案<\/strong>：palu{192.168.20.107}<\/li> <\/ul> 2-5 最早攻击时间<\/h3> 方法<\/strong>：在攻击日志中查找最早记录<\/li> <\/ul> <\/li> 答案<\/strong>：palu{2025-05-05-00:04:40}<\/li> <\/ul> 2-6 泄露的关键文件<\/h3> 方法<\/strong>：检查nginx访问日志<\/li> 筛选状态码200的请求<\/li> <\/ul> <\/li> 答案<\/strong>：palu{key.txt}<\/li> <\/ul> 2-7 泄露的邮箱地址<\/h3> 方法<\/strong>：在key.txt中发现邮箱<\/li> 答案<\/strong>：palu{parloo@parloo.com}<\/li> <\/ul> 2-8 立足点服务器IP<\/h3> 方法<\/strong>：在攻击日志中发现漏扫IP<\/li> 答案<\/strong>：palu{192.168.20.108}<\/li> <\/ul> 2-10 攻击者遗留文件<\/h3> 方法<\/strong>：登录SSH服务器(需Ctrl+C中断)<\/li> 在home目录下发现文件<\/li> <\/ul> <\/li> 答案<\/strong>：palu{hi_2025_parloo_is_hack}<\/li> <\/ul> 2-12 恶意服务器地址<\/h3> 方法<\/strong>：分析聊天记录中的文件<\/li> 上传沙箱分析(如奇安信沙箱)<\/li> <\/ul> <\/li> 答案<\/strong>：palu{47.101.213.153}<\/li> <\/ul> 2-14 信息泄露端口<\/h3> 方法<\/strong>：发现存在信息泄露的服务<\/li> 答案<\/strong>：palu{8081}<\/li> <\/ul> 2-15 身份证号泄露<\/h3> 方法<\/strong>：通过信息泄露服务获取<\/li> 答案<\/strong>：palu{310105198512123456}<\/li> <\/ul> 2-16 危险功能路径<\/h3> 方法<\/strong>：发现可执行命令的路由<\/li> 答案<\/strong>：palu{\/admin\/parloo}<\/li> <\/ul> 2-18 恶意账户名称MD5<\/h3> 方法<\/strong>：发现恶意账户palu03<\/li> 计算MD5<\/li> <\/ul> <\/li> 答案<\/strong>：palu{d78b6f30225cdc811adfe8d4e7c9fd34}<\/li> <\/ul> 2-19 内部群聊flag<\/h3> 方法<\/strong>：查看nwt群聊记录<\/li> 答案<\/strong>：palu{nbq_nbq_parloo}<\/li> <\/ul> 2-21 首次命令执行时间<\/h3> 方法<\/strong>：分析历史记录中的日志<\/li> 答案<\/strong>：palu{2025-05-04-15:30:38}<\/li> <\/ul> 2-22 恶意IP和端口<\/h3> 方法<\/strong>：继续分析日志文件<\/li> 答案<\/strong>：palu{10.12.12.13:9999}<\/li> <\/ul> 2-26 DNSlog域名<\/h3> 方法<\/strong>：在日志中发现可疑域名<\/li> 答案<\/strong>：palu{np85qqde.requestrepo.com}<\/li> <\/ul> 2-32 木马文件MD5<\/h3> 方法<\/strong>：在攻击者目录发现可执行文件<\/li> 计算MD5<\/li> <\/ul> <\/li> 答案<\/strong>：palu{4123940b3911556d4bf79196cc008bf4}<\/li> <\/ul> 2-33 溯源信息<\/h3> 方法<\/strong>：在palu02浏览器中发现登录信息<\/li> 答案<\/strong>：palu{X5E1yklzoAdyHBZ}<\/li> <\/ul> 2-36 恶意用户数量<\/h3> 方法<\/strong>：使用net user<\/code>命令统计<\/li> 答案<\/strong>：palu{99}<\/li> <\/ul> 2-37 默认密码<\/h3> 方法<\/strong>：在palu01根目录隐藏文件中发现<\/li> 答案<\/strong>：palu{123456}<\/li> <\/ul> 2-39 Git仓库内容<\/h3> 方法<\/strong>：在docker服务中发现git<\/li> 使用git ls-tree -r main<\/code>查看<\/li> <\/ul> <\/li> 答案<\/strong>：palu{FO65SruuTukdpBS5}<\/li> <\/ul> 2-40 MySQL服务器恶意程序<\/h3> 方法<\/strong>：发现隐藏可执行文件并计算MD5<\/li> 答案<\/strong>：palu{ba7c9fc1ff58b48d0df5c88d2fcc5cd1}<\/li> <\/ul> 2-41 C2通信函数<\/h3> 方法<\/strong>：分析\/root\/.a文件<\/li> 答案<\/strong>：palu{simulate_network_communication}<\/li> <\/ul> 2-42 隐藏文件名称<\/h3> 方法<\/strong>：继续分析.a文件<\/li> 答案<\/strong>：palu{.malware_log.txt}<\/li> <\/ul> 2-43 权限提升函数<\/h3> 方法<\/strong>：继续分析.a文件<\/li> 答案<\/strong>：palu{simulate_privilege_escalation}<\/li> <\/ul> 高级技巧总结<\/h2> 日志分析技巧<\/strong>：<\/p> 结合IP、时间、状态码等多维度筛选<\/li> 关注异常行为模式(如暴力破解、一句话木马访问)<\/li> <\/ul> <\/li> 权限提升方法<\/strong>：<\/p> 使用mimikatz的token::elevate提权<\/li> 分析系统隐藏账户和计划任务<\/li> <\/ul> <\/li> 恶意文件分析<\/strong>：<\/p> 沙箱分析可疑文件<\/li> 计算文件哈希用于比对<\/li> 逆向分析关键函数<\/li> <\/ul> <\/li> 信息泄露挖掘<\/strong>：<\/p> 检查数据库、配置文件、git仓库<\/li> 分析web应用路由和功能点<\/li> <\/ul> <\/li> 溯源方法<\/strong>：<\/p> 分析聊天记录、浏览器历史<\/li> 追踪攻击者留下的个人信息<\/li> 关联攻击IP和时间线<\/li> <\/ul> <\/li> 应急响应流程<\/strong>：<\/p> 资产清单和凭证管理<\/li> 多维度证据收集(日志、文件、进程)<\/li> 攻击链重建和时间线梳理<\/li> <\/ul> <\/li> <\/ol>