第二届parloo杯应急响应挑战赛应急部分WP

字数 2825 2025-08-29 22:41:02

第二届parloo杯应急响应挑战赛应急部分教学文档

应急响应基础篇

1-1 攻击IP地址识别

场景：日志中发现大量可疑访问记录
方法：
- 分析访问日志，寻找异常IP（如192.168.31.240）
- 关注访问一句话木马的行为特征
答案：palu{192.168.31.240}

1-2 恶意文件传输识别

场景：聊天记录中发现可疑文件传输
方法：
- 解压发现"简历.exe"文件
- 上传沙箱分析确认为恶意文件
答案：palu{192.168.31.11}

1-3 暴力破解时间定位

场景：分析docker日志(680140)
方法：
- 根据已知攻击者IP筛选日志
- 结合POST请求和登录框特征定位
答案：palu{2025-05-02-03:05:58}

1-4 计划任务中的flag

方法：检查系统计划任务
答案：palu{pc3_zgsfqwerlkssaw}

1-5 最近使用文件分析

方法：
- 检查最近使用的a.bat文件
答案：palu{nizhidaowoyouduoainima}

1-6 数据库凭证泄露

方法：
- 在网页文件中查找数据库账户密码
- 连接数据库发现可疑信息
- Base64解密获取flag
答案：palu{sqlaabbccsbwindows}

1-7 钓鱼文件哈希计算

方法：
- 计算文件MD5哈希(32位大写)
答案：palu{2977CDAB8F3EE5EFDDAE61AD9F6CF203}

1-8 Webshell密码识别

方法：分析a.php文件
答案：palu{00232}

1-10 Webshell密码识别2

方法：在日志中发现shell.php
答案：palu{hack}

1-11 隐藏账户密码提取

方法：
- 发现隐藏用户system$
- 使用mimikatz提取密码：
```
token::elevate
lsadump::sam
```
- 解密获取密码
答案：palu{wmx_love}

应急响应进阶篇

2-1 堡垒机flag获取

方法：
- 使用资产清单凭证(admin/Skills@2020)
- 在标签列表处发现flag

2-2 WAF隐藏flag

方法：
- 使用凭证(admin/VF6NXMs7)
- 在身份认证处发现flag
答案：palu{2025_waf}

2-3 MySQL中的flag

方法：
- 使用凭证(root/mysql_QPiS8y)
- 连接数据库查找flag
答案：palu{Mysql_@2025}

2-4 攻击IP识别

方法：
- 分析WAF攻击日志
- 发现192.168.20.107/108存在攻击行为
答案：palu{192.168.20.107}

2-5 最早攻击时间

方法：
- 在攻击日志中查找最早记录
答案：palu{2025-05-05-00:04:40}

2-6 泄露的关键文件

方法：
- 检查nginx访问日志
- 筛选状态码200的请求
答案：palu{key.txt}

2-7 泄露的邮箱地址

方法：在key.txt中发现邮箱
答案：palu{parloo@parloo.com}

2-8 立足点服务器IP

方法：在攻击日志中发现漏扫IP
答案：palu{192.168.20.108}

2-10 攻击者遗留文件

方法：
- 登录SSH服务器(需Ctrl+C中断)
- 在home目录下发现文件
答案：palu{hi_2025_parloo_is_hack}

2-12 恶意服务器地址

方法：
- 分析聊天记录中的文件
- 上传沙箱分析(如奇安信沙箱)
答案：palu{47.101.213.153}

2-14 信息泄露端口

方法：发现存在信息泄露的服务
答案：palu{8081}

2-15 身份证号泄露

方法：通过信息泄露服务获取
答案：palu{310105198512123456}

2-16 危险功能路径

方法：发现可执行命令的路由
答案：palu{/admin/parloo}

2-18 恶意账户名称MD5

方法：
- 发现恶意账户palu03
- 计算MD5
答案：palu{d78b6f30225cdc811adfe8d4e7c9fd34}

2-19 内部群聊flag

方法：查看nwt群聊记录
答案：palu{nbq_nbq_parloo}

2-21 首次命令执行时间

方法：分析历史记录中的日志
答案：palu{2025-05-04-15:30:38}

2-22 恶意IP和端口

方法：继续分析日志文件
答案：palu{10.12.12.13:9999}

2-26 DNSlog域名

方法：在日志中发现可疑域名
答案：palu{np85qqde.requestrepo.com}

2-32 木马文件MD5

方法：
- 在攻击者目录发现可执行文件
- 计算MD5
答案：palu{4123940b3911556d4bf79196cc008bf4}

2-33 溯源信息

方法：在palu02浏览器中发现登录信息
答案：palu{X5E1yklzoAdyHBZ}

2-36 恶意用户数量

方法：使用net user命令统计
答案：palu{99}

2-37 默认密码

方法：在palu01根目录隐藏文件中发现
答案：palu{123456}

2-39 Git仓库内容

方法：
- 在docker服务中发现git
- 使用git ls-tree -r main查看
答案：palu{FO65SruuTukdpBS5}

2-40 MySQL服务器恶意程序

方法：发现隐藏可执行文件并计算MD5
答案：palu{ba7c9fc1ff58b48d0df5c88d2fcc5cd1}

2-41 C2通信函数

方法：分析/root/.a文件
答案：palu{simulate_network_communication}

2-42 隐藏文件名称

方法：继续分析.a文件
答案：palu{.malware_log.txt}

2-43 权限提升函数

方法：继续分析.a文件
答案：palu{simulate_privilege_escalation}

高级技巧总结

日志分析技巧：
- 结合IP、时间、状态码等多维度筛选
- 关注异常行为模式(如暴力破解、一句话木马访问)
权限提升方法：
- 使用mimikatz的token::elevate提权
- 分析系统隐藏账户和计划任务
恶意文件分析：
- 沙箱分析可疑文件
- 计算文件哈希用于比对
- 逆向分析关键函数
信息泄露挖掘：
- 检查数据库、配置文件、git仓库
- 分析web应用路由和功能点
溯源方法：
- 分析聊天记录、浏览器历史
- 追踪攻击者留下的个人信息
- 关联攻击IP和时间线
应急响应流程：
- 资产清单和凭证管理
- 多维度证据收集(日志、文件、进程)
- 攻击链重建和时间线梳理

第二届parloo杯应急响应挑战赛应急部分教学文档应急响应基础篇 1-1 攻击IP地址识别场景：日志中发现大量可疑访问记录方法：分析访问日志，寻找异常IP（如192.168.31.240）关注访问一句话木马的行为特征答案：palu{192.168.31.240} 1-2 恶意文件传输识别场景：聊天记录中发现可疑文件传输方法：解压发现"简历.exe"文件上传沙箱分析确认为恶意文件答案：palu{192.168.31.11} 1-3 暴力破解时间定位场景：分析docker日志(680140) 方法：根据已知攻击者IP筛选日志结合POST请求和登录框特征定位答案：palu{2025-05-02-03:05:58} 1-4 计划任务中的flag 方法：检查系统计划任务答案：palu{pc3_ zgsfqwerlkssaw} 1-5 最近使用文件分析方法：检查最近使用的a.bat文件答案：palu{nizhidaowoyouduoainima} 1-6 数据库凭证泄露方法：在网页文件中查找数据库账户密码连接数据库发现可疑信息 Base64解密获取flag 答案：palu{sqlaabbccsbwindows} 1-7 钓鱼文件哈希计算方法：计算文件MD5哈希(32位大写) 答案：palu{2977CDAB8F3EE5EFDDAE61AD9F6CF203} 1-8 Webshell密码识别方法：分析a.php文件答案：palu{00232} 1-10 Webshell密码识别2 方法：在日志中发现shell.php 答案：palu{hack} 1-11 隐藏账户密码提取方法：发现隐藏用户system$ 使用mimikatz提取密码：解密获取密码答案：palu{wmx_ love} 应急响应进阶篇 2-1 堡垒机flag获取方法：使用资产清单凭证(admin/Skills@2020) 在标签列表处发现flag 2-2 WAF隐藏flag 方法：使用凭证(admin/VF6NXMs7) 在身份认证处发现flag 答案：palu{2025_ waf} 2-3 MySQL中的flag 方法：使用凭证(root/mysql_ QPiS8y) 连接数据库查找flag 答案：palu{Mysql_ @2025} 2-4 攻击IP识别方法：分析WAF攻击日志发现192.168.20.107/108存在攻击行为答案：palu{192.168.20.107} 2-5 最早攻击时间方法：在攻击日志中查找最早记录答案：palu{2025-05-05-00:04:40} 2-6 泄露的关键文件方法：检查nginx访问日志筛选状态码200的请求答案：palu{key.txt} 2-7 泄露的邮箱地址方法：在key.txt中发现邮箱答案：palu{parloo@parloo.com} 2-8 立足点服务器IP 方法：在攻击日志中发现漏扫IP 答案：palu{192.168.20.108} 2-10 攻击者遗留文件方法：登录SSH服务器(需Ctrl+C中断) 在home目录下发现文件答案：palu{hi_ 2025_ parloo_ is_ hack} 2-12 恶意服务器地址方法：分析聊天记录中的文件上传沙箱分析(如奇安信沙箱) 答案：palu{47.101.213.153} 2-14 信息泄露端口方法：发现存在信息泄露的服务答案：palu{8081} 2-15 身份证号泄露方法：通过信息泄露服务获取答案：palu{310105198512123456} 2-16 危险功能路径方法：发现可执行命令的路由答案：palu{/admin/parloo} 2-18 恶意账户名称MD5 方法：发现恶意账户palu03 计算MD5 答案：palu{d78b6f30225cdc811adfe8d4e7c9fd34} 2-19 内部群聊flag 方法：查看nwt群聊记录答案：palu{nbq_ nbq_ parloo} 2-21 首次命令执行时间方法：分析历史记录中的日志答案：palu{2025-05-04-15:30:38} 2-22 恶意IP和端口方法：继续分析日志文件答案：palu{10.12.12.13:9999} 2-26 DNSlog域名方法：在日志中发现可疑域名答案：palu{np85qqde.requestrepo.com} 2-32 木马文件MD5 方法：在攻击者目录发现可执行文件计算MD5 答案：palu{4123940b3911556d4bf79196cc008bf4} 2-33 溯源信息方法：在palu02浏览器中发现登录信息答案：palu{X5E1yklzoAdyHBZ} 2-36 恶意用户数量方法：使用 net user 命令统计答案：palu{99} 2-37 默认密码方法：在palu01根目录隐藏文件中发现答案：palu{123456} 2-39 Git仓库内容方法：在docker服务中发现git 使用 git ls-tree -r main 查看答案：palu{FO65SruuTukdpBS5} 2-40 MySQL服务器恶意程序方法：发现隐藏可执行文件并计算MD5 答案：palu{ba7c9fc1ff58b48d0df5c88d2fcc5cd1} 2-41 C2通信函数方法：分析/root/.a文件答案：palu{simulate_ network_ communication} 2-42 隐藏文件名称方法：继续分析.a文件答案：palu{.malware_ log.txt} 2-43 权限提升函数方法：继续分析.a文件答案：palu{simulate_ privilege_ escalation} 高级技巧总结日志分析技巧：结合IP、时间、状态码等多维度筛选关注异常行为模式(如暴力破解、一句话木马访问) 权限提升方法：使用mimikatz的token::elevate提权分析系统隐藏账户和计划任务恶意文件分析：沙箱分析可疑文件计算文件哈希用于比对逆向分析关键函数信息泄露挖掘：检查数据库、配置文件、git仓库分析web应用路由和功能点溯源方法：分析聊天记录、浏览器历史追踪攻击者留下的个人信息关联攻击IP和时间线应急响应流程：资产清单和凭证管理多维度证据收集(日志、文件、进程) 攻击链重建和时间线梳理