【第二届帕鲁杯】第二届帕鲁杯 主环境 基本完整wp
solar_Linux后门排查
题目描述
跳板机疑似被遗留后门,请排查
1、找到可疑进程完整路径
2、找到被横向的服务器IP
3、连接被横向服务器
flag格式为 flag{base64{完整路径}|服务器IP|服务器中flag文本}
root:Solar@2025_05_palu!
连接服务器.ss看到恶意IP. 根据进程找到绝对路径
查看进程
连接,获取flag
应急响应2-1
提交堡垒机中留下的flag
登录堡垒机,标签存在flag
应急响应2-2
提交WAF中隐藏的flag
登录WAF,身份认证的用户管理中存在flag
palu{2025_waf}
应急响应2-3
提交Mysql中留下的flag
palu{Mysql_@2025}
应急响应2-4
提交攻击者的攻击IP
palu{192.168.20.107}
应急响应2-5
提交攻攻击者最早攻击时间flag格式为palu{xxxx-xx-xx-xx-xx-xx}
服了.格式错误,。一直交不对。
应急响应2-6
提交web服务泄露的关键文件名
flag{key.txt}
应急响应2-7
题解泄露的邮箱地址
palu{parloo@parloo.com}
应急响应2-8
提交立足点服务器ip地址
应急响应2-9
提交攻击者使用的提权的用户和密码
palu{parloo/parloo}
应急响应2-10
提交攻击者留下的的文件内容作为flag提交
palu{hi_2025_parloo_is_hack}
应急响应2-11
提交权限维持方法服务的名称
应急响应2-12
提交攻击者攻击恶意服务器连接地址作为flag提交
palu{47.101.213.153}
应急响应2-13
找到系统中被劫持的程序程序名作为flag提交
ps -ef 找到
应急响应2-14
找到系统中存在信息泄露的服务运行端口作为flag提交
应急响应2-15
提交Parloo公司项目经理的身份证号作为flag提交
应急响应2-16
提交存在危险功能的操作系统路径作为flag提交。flag格式为palu{/xxx/xxx}
palu{/admin/parloo}
应急响应2-17
提交进源机器中恶意程序的MD5作为flag进行提交。 flag格式为palu{MD5小写}
应急响应2-18
提交攻击者留下的恶意账户名称md5后作为flag进行提交。 格式为palu{md5{xxxxx}}
flag{hack}
应急响应2-19
提交内部群中留下的flag并提交
应急响应2-20
请提交攻击者使用维护页面获取到的敏感内容作为flag进行提交
palu{Server_Parloo_2025}
应急响应2-21
提交获取敏感内容IP的第一次执行命令时间作为flag进行提交。flag格式为palu{xxxx-xx-xx:xx:xx:xx}
palu{2025-05-04:15:30:38}
应急响应2-22
提交攻击者使用的恶意ip和端口flag格式为palu{xx.xx.xx.xx:xxxx}
palu{10.12.12.13:9999}
应急响应2-23
提交重要数据的内容作为flag提交
palu03 桌面存在 重要的数据.txt
gitea中存在hack用户. 仓库中存在加密脚本。
密钥为:MySecreKey 密钥是猜测flag头部为palu{ 反推出来。
palu{Password-000}
应急响应2-24
提交恶意维权软件的名称作为flag进行提交
palu{svhost}
应急响应2-25
提交恶意程序的外联地址
palu03机器中存在ipconfig.exe 根据图标判断是python写的. 反编译得到源代码.即可发现外联地址。
palu{88.173.80.103}
应急响应2-26
提交攻击这使用的恶意dnslog域名作为flag进行提交
palu{np85qqde.requestrepo.com}
应急响应2-27
提交寻找反序列化漏洞的端口作为flag进行提交
雷池WAF,过滤未拦截的反序列化,根据相应内容,只有这个302
palu{9999}
应急响应2-28
提交web服务泄露的密钥作为flag进行提交
palu{QZYysgMYhG6/CzIJlVpR2g==}
应急响应2-29
提交攻击者开始攻击的时间作为flag进行提交。flag各式为palu{xxxx/xx/xx:xx:xx:xx}
应急响应2-30
提交攻击者在server中留下的账户密码作为flag进行提交。flag格式为palu{username/password}
palu{parloohack/123456}
应急响应2-31
提交攻击者维权方法的名称作为flag进行提交
palu{parloohack_script.service}
server01 启动服务
应急响应2-32
提交攻击者留下的木马md5后作为flag进行提交
常规目录文件排查
palu{4123940b3911556d4bf79196cc008bf4}
应急响应2-33
提交攻击者留下的溯源信息作为flag进行提交
palu{X5E1yklz1oAdyHBZ}
应急响应2-34
提交攻击者的githubID作为flag进行提交
33题账号为qq号,搜索发现帕鲁账号
查看空间得到github用户名
查api得到id
应急响应2-35
提交攻击者在github下留下的的内容作为flag进行提交
github主页
应急响应2-36
提交恶意用户的数量作为flag进行提交
应急响应2-37
提交恶意用户的默认密码作为flag进行提交
123456
应急响应2-38
提交业务数据中攻击者留下的信息作为flag进行提交
数据库
palu{crP1ZIVfqrkfdhGy}
应急响应2-39
提交私人git仓库中留下的内容作为flag进行提交
palu{FO65SruuTukdpBS5}
应急响应2-40
提交存在在mysql服务器中的恶意程序的MD5作为flag进行提交
常规目录文件排查
应急响应2-41
提交恶意程序中模拟c2通信的函数名称作为flag进行提交
palu{simulate_network_communication}
应急响应2-42
提交恶意程序创建隐藏文件的名称作为flag提交
palu{.malware_log.txt}
应急响应2-43
提交恶意程序中模拟权限提升的函数作为flag进行提交
拓IDA分析,通过函数名称就能确定
palu{simulate_privilege_escalation}
应急响应2-44
提交被钓鱼上线的用户名作为flag进行提交
翻聊天记录,子怡收到了cc的文件,拖出来仍微步检测确定
palu{Parloo-子怡}
应急响应2-45
提交恶意程序的所在路径作为flag进行提交
palu{C:\Users\Public\Nwt\cache\recv\Parloo-沉沉}
上一题文件路径
应急响应2-46
分析恶意程序的反连地址作为flag进行提交
palu{47.101.213.153}
wireshark抓包,
应急响应2-47
提交恶意c2的服务器登录的账号密码作为flag进行提交。flag格式为palu{username/password}
palu{admin/admin@qwer}
