2025年Solar应急响应公益月赛-3月
字数 2522 2025-08-30 06:50:28

Solar应急响应公益月赛-3月 技术分析与教学文档

窃密排查部分

窃密排查-1:查找黑客窃密工具账号

操作步骤:

  1. 使用提供的容器账号登录:root:Solar@2025_03!
  2. 检查tmp目录发现megacmd工具
  3. 查找MEGAcmd日志位置:~/.megaCmd目录
  4. 在日志中发现黑客登录账户:25solar3abc@habenwir.com

关键点:

  • MEGAcmd工具的日志默认存储在用户目录的.megaCmd文件夹中
  • 黑客可能使用MEGA云存储服务进行数据窃取

窃密排查-2:获取黑客账号找到flag

操作步骤:

  1. 检查~/.megaCmd/目录下的SQLite数据库文件:megaclient_statecache14_eHlWQTZuLWNFNGf3Nv5gC10JM48JzGHTc8y6.db
  2. 发现flag文件痕迹(但MEGA对信息进行了加密)
  3. 检查~/.megaCmd/下的session文件
  4. 查询邮箱发现使用YOPmail临时邮箱服务
  5. 访问YOPmail公共邮箱平台:https://www.yopmail.com/
  6. 登录邮箱发现恢复代码(recover code)
  7. 使用恢复代码在MEGA账户恢复页面重置密码:https://mega.nz/recovery
  8. 重置后登录MEGA账户,在共享项目中找到flag

获取的flag:
flag{h4S8_h4m1_8Wlq_b3Xz}

关键点:

  • MEGA使用SQLite数据库存储客户端状态信息
  • 黑客常使用临时邮箱服务注册账户
  • MEGA账户可以通过恢复代码重置密码

窃密排查-3:获取黑客最终转移账号

操作步骤:

  1. 在聊天框中发现编码的会话信息:badguy2503@wishy.fr
  2. 解码后得到邮箱地址:badguy2503@wishy.fr
  3. 使用提供的session直接登录

溯源排查部分

溯源排查-1:排查服务器外连地址

操作步骤:

  1. 将阿里云镜像从raw格式转换为vmdk格式
  2. 使用R-studio取证工具分析,确认系统为CentOS-7
  3. 在VMware中新建虚拟机,使用转换后的虚拟磁盘
  4. 开机时按e修改启动配置:
    • 删除静默模式配置
    • 删除多余的网卡和串口配置
    • 添加rw init=/sysroot/bin/sh
  5. 系统初始化后进入shell环境
  6. 切换根目录:chroot /sysroot
  7. 修改root密码:passwd root
  8. 重启后使用新密码登录
  9. 使用ifconfig确认网络连接
  10. 通过SSH连接并抓包分析外连

发现的外连地址:
156.238.230.167:46578

关键点:

  • 取证时可能需要修改系统启动参数才能正常访问
  • 网络取证中抓包是发现异常连接的有效方法

溯源排查-2:排查外连进程程序的绝对路径

操作步骤:

  1. 使用ps命令查看CPU占用较高的进程
  2. 使用systemctl status检查服务
  3. 发现两个相似服务:
    • systemd-journald.service(标准日志守护进程)
    • journaled(多了一个e的伪造进程)
  4. 通过R-studio确认该服务较新
  5. 发现相关二进制文件:
    • /usr/local/systemd/journaled
    • /root/tmp/hsperfdata_root/2233
    • /root/tmp/tomcat-docbase.8848.7206919844684045987/journaled(已删除)

获取的flag:
flag{/usr/local/systemd/journaled}

关键点:

  • 攻击者常伪造与系统进程相似的名称进行伪装
  • 取证工具可以恢复已删除的文件信息

溯源排查-3:排查后门完整名称

发现的后门服务完整名称:
systemd-journaled.service

溯源排查-4:找出可能存在漏洞的应用

操作步骤:

  1. 使用R-studio恢复被删除的文件
  2. 发现nacos-server应用

溯源排查-6:找出黑客利用漏洞使用的工具地址

操作步骤:

  1. 检索Nacos RCE漏洞相关信息
  2. 发现相关工具:c0olw/NacosRce

工具GitHub地址:
https://github.com/c0olw/NacosRce

工具描述:
Nacos JRaft Hessian反序列化RCE,支持加载字节码、注入内存马、不出网利用

溯源排查-5:提交漏洞CVE编号

漏洞信息:

  • 名称:Nacos Hessian反序列化漏洞
  • 编号:CNVD-2023-45001(阿里云漏洞库)
  • 注意:实际应为CVE编号而非CNVD

逆向分析部分

题目描述:

  1. seed为开机时间
  2. 使用伪随机生成十六位key:qa0wserdf1tg9yuhjio2pklz8xbvcn4mPL7JKOIHUG3YTF6DSREAWQZX5MNCBV
  3. 函数sub_140001350实现标准RC4算法
  4. flag.txt为输入明文,flag.txt.freefix为输出密文
  5. 需要爆破seed解密

解决方案:

  1. 编写Python或C脚本爆破可能的seed值
  2. 使用开机时间作为seed生成密钥
  3. 实现RC4算法进行解密

综合教学要点

  1. 应急响应流程:

    • 先取证再分析,避免破坏现场
    • 关注异常进程、服务和网络连接
    • 检查临时目录和隐藏目录

  2. MEGA取证技巧:

    • 日志和状态信息存储在~/.megaCmd
    • 使用SQLite浏览器查看数据库文件
    • 关注session和恢复代码

  3. 系统取证方法:

    • 使用专业工具如R-studio分析磁盘镜像
    • 对可疑进程进行完整路径检查
    • 比较系统标准服务和可疑服务的差异

  4. 漏洞利用分析:

    • 关注已知漏洞的公开利用工具
    • 确认漏洞的官方编号(CVE/CNVD)
    • 恢复被删除的应用文件进行分析

  5. 逆向工程技巧:

    • 识别标准算法实现(如RC4)
    • 分析密钥生成逻辑
    • 编写爆破脚本尝试可能的输入
Solar应急响应公益月赛-3月 技术分析与教学文档 窃密排查部分 窃密排查-1:查找黑客窃密工具账号 操作步骤: 使用提供的容器账号登录: root:Solar@2025_03! 检查tmp目录发现megacmd工具 查找MEGAcmd日志位置: ~/.megaCmd 目录 在日志中发现黑客登录账户: 25solar3abc@habenwir.com 关键点: MEGAcmd工具的日志默认存储在用户目录的 .megaCmd 文件夹中 黑客可能使用MEGA云存储服务进行数据窃取 窃密排查-2:获取黑客账号找到flag 操作步骤: 检查 ~/.megaCmd/ 目录下的SQLite数据库文件: megaclient_statecache14_eHlWQTZuLWNFNGf3Nv5gC10JM48JzGHTc8y6.db 发现flag文件痕迹(但MEGA对信息进行了加密) 检查 ~/.megaCmd/ 下的session文件 查询邮箱发现使用YOPmail临时邮箱服务 访问YOPmail公共邮箱平台:https://www.yopmail.com/ 登录邮箱发现恢复代码(recover code) 使用恢复代码在MEGA账户恢复页面重置密码:https://mega.nz/recovery 重置后登录MEGA账户,在共享项目中找到flag 获取的flag: flag{h4S8_h4m1_8Wlq_b3Xz} 关键点: MEGA使用SQLite数据库存储客户端状态信息 黑客常使用临时邮箱服务注册账户 MEGA账户可以通过恢复代码重置密码 窃密排查-3:获取黑客最终转移账号 操作步骤: 在聊天框中发现编码的会话信息: badguy2503@wishy.fr 解码后得到邮箱地址: badguy2503@wishy.fr 使用提供的session直接登录 溯源排查部分 溯源排查-1:排查服务器外连地址 操作步骤: 将阿里云镜像从raw格式转换为vmdk格式 使用R-studio取证工具分析,确认系统为CentOS-7 在VMware中新建虚拟机,使用转换后的虚拟磁盘 开机时按e修改启动配置: 删除静默模式配置 删除多余的网卡和串口配置 添加 rw init=/sysroot/bin/sh 系统初始化后进入shell环境 切换根目录: chroot /sysroot 修改root密码: passwd root 重启后使用新密码登录 使用 ifconfig 确认网络连接 通过SSH连接并抓包分析外连 发现的外连地址: 156.238.230.167:46578 关键点: 取证时可能需要修改系统启动参数才能正常访问 网络取证中抓包是发现异常连接的有效方法 溯源排查-2:排查外连进程程序的绝对路径 操作步骤: 使用 ps 命令查看CPU占用较高的进程 使用 systemctl status 检查服务 发现两个相似服务: systemd-journald.service (标准日志守护进程) journaled (多了一个e的伪造进程) 通过R-studio确认该服务较新 发现相关二进制文件: /usr/local/systemd/journaled /root/tmp/hsperfdata_root/2233 /root/tmp/tomcat-docbase.8848.7206919844684045987/journaled (已删除) 获取的flag: flag{/usr/local/systemd/journaled} 关键点: 攻击者常伪造与系统进程相似的名称进行伪装 取证工具可以恢复已删除的文件信息 溯源排查-3:排查后门完整名称 发现的后门服务完整名称: systemd-journaled.service 溯源排查-4:找出可能存在漏洞的应用 操作步骤: 使用R-studio恢复被删除的文件 发现 nacos-server 应用 溯源排查-6:找出黑客利用漏洞使用的工具地址 操作步骤: 检索Nacos RCE漏洞相关信息 发现相关工具: c0olw/NacosRce 工具GitHub地址: https://github.com/c0olw/NacosRce 工具描述: Nacos JRaft Hessian反序列化RCE,支持加载字节码、注入内存马、不出网利用 溯源排查-5:提交漏洞CVE编号 漏洞信息: 名称:Nacos Hessian反序列化漏洞 编号:CNVD-2023-45001(阿里云漏洞库) 注意:实际应为CVE编号而非CNVD 逆向分析部分 题目描述: seed为开机时间 使用伪随机生成十六位key: qa0wserdf1tg9yuhjio2pklz8xbvcn4mPL7JKOIHUG3YTF6DSREAWQZX5MNCBV 函数 sub_140001350 实现标准RC4算法 flag.txt 为输入明文, flag.txt.freefix 为输出密文 需要爆破seed解密 解决方案: 编写Python或C脚本爆破可能的seed值 使用开机时间作为seed生成密钥 实现RC4算法进行解密 综合教学要点 应急响应流程: 先取证再分析,避免破坏现场 关注异常进程、服务和网络连接 检查临时目录和隐藏目录 MEGA取证技巧: 日志和状态信息存储在 ~/.megaCmd 使用SQLite浏览器查看数据库文件 关注session和恢复代码 系统取证方法: 使用专业工具如R-studio分析磁盘镜像 对可疑进程进行完整路径检查 比较系统标准服务和可疑服务的差异 漏洞利用分析: 关注已知漏洞的公开利用工具 确认漏洞的官方编号(CVE/CNVD) 恢复被删除的应用文件进行分析 逆向工程技巧: 识别标准算法实现(如RC4) 分析密钥生成逻辑 编写爆破脚本尝试可能的输入