【第二届帕鲁杯】第二届帕鲁杯畸行的爱完整wp

应急响应1-1

提交攻击者使用的攻击ip地址1 flag格式为：palu{xxxx}

看拓扑肯定是webserver先被攻击，目标为webserver上面相关的服务日志，查看系统网络状态，发现大量疑似反弹shell的链接

查看系统的nginx服务日志发现31网段访问a.php记录，查看a.php内容确定攻击者ip

应急响应1-2

提交攻击者使用的攻击ip地址2. flag格式为：palu{xxxx}

palu{192.168.31.11}

题1记录中的11主机

应急响应1-3

题解攻击者暴力破解开始时间。 flag为:palu{xx:xx:xx:xx}

找登录界面，通过开放端口发现phpmyadmin平台，docker logs查看日志过滤出240的攻击者ip，发现大量爆破痕迹

palu{2025:03:05:58}

应急响应1-4

提交攻击者留下的flag1 格式为palu{pc3_zgsfqwerlkssaw}

对pc机常规排查，在计划任务中发现flag1

应急响应1-5

提交攻击者留下的flag2 格式为：palu{xxxx}

常规项排查，系统安装软件中发现flag2

应急响应1-6

提交攻击者留下的flag3 提交格式为：palu{xxxx}

数据库订单lisi中

应急响应1-7

提交钓鱼文件的哈希32位大写

张家乐账户被劫持，聊天记录中发现钓鱼简历

应急响应1-8

提交攻击者留下的webshell-1密码 格式为：palu{xxxx}

1-1中已找到

应急响应1-9

提交攻击者开放端口 格式为：palu{xxx,xxx,xxx}

palu{1133,1144,8084}

对webserver常规排查，计划任务发现攻击者端口

印证前面的分析，网络状态还有一个8084

对8061资产主机常规排查计划任务中发现1133端口

另外win10网络状态中也存在8081端口

根据前两个知道恶意的ip地址192.168.31.11

使用netstat -napt直接查出第三个在windows10中查询到的端口中

应急响应1-10

提交攻击者留下的webshell密码2 格式为：palu{00232}

导出html页面发现里面a.php的webshell木马

应急响应1-11

提交攻击者留下的隐藏账户的密码 flag格式为：palu{wmx_love}

首先通过工具在windows10 pc2上发现了这个system$隐藏用户

这里直接启动一个kali连到同一网段，利用msf生成一个windows木马并上传到windows中

执行反弹shell

通过getsystem提权

通过hashdump获取到system$的hash值然后到md5网站上去解码

对dbae99beb48fd9132e1cf77f4c746979 解码得到答案：wmx_love

应急响应1-12

[溯源]攻击者的邮箱. flag格式为：palu{xxx}

github api反查邮箱

应急响应1-13

提交溯源后得到的flag flag格式为：palu{xxx}

简历.exe 分析得到用户名

百度搜索得到github地址

确定

拿到flag