做网站 怎么样找客户外贸快车
应急响应1-1
提交攻击者使用的攻击ip地址1 flag格式为:palu{xxxx}
看拓扑肯定是webserver先被攻击,目标为webserver上面相关的服务日志,查看系统网络状态,发现大量疑似反弹shell的链接
查看系统的nginx服务日志发现31网段访问a.php记录,查看a.php内容确定攻击者ip
应急响应1-2
提交攻击者使用的攻击ip地址2. flag格式为:palu{xxxx}
palu{192.168.31.11}
题1记录中的11主机
应急响应1-3
题解攻击者暴力破解开始时间。 flag为:palu{xx:xx:xx:xx}
找登录界面,通过开放端口发现phpmyadmin平台,docker logs查看日志过滤出240的攻击者ip,发现大量爆破痕迹
palu{2025:03:05:58}
应急响应1-4
提交攻击者留下的flag1 格式为palu{pc3_zgsfqwerlkssaw}
对pc机常规排查,在计划任务中发现flag1
应急响应1-5
提交攻击者留下的flag2 格式为:palu{xxxx}
常规项排查,系统安装软件中发现flag2
应急响应1-6
提交攻击者留下的flag3 提交格式为:palu{xxxx}
数据库订单lisi中
应急响应1-7
提交钓鱼文件的哈希32位大写
张家乐账户被劫持,聊天记录中发现钓鱼简历
应急响应1-8
提交攻击者留下的webshell-1密码 格式为:palu{xxxx}
1-1中已找到
应急响应1-9
提交攻击者开放端口 格式为:palu{xxx,xxx,xxx}
palu{1133,1144,8084}
对webserver常规排查,计划任务发现攻击者端口
印证前面的分析,网络状态还有一个8084
对8061资产主机常规排查计划任务中发现1133端口
另外win10网络状态中也存在8081端口
根据前两个知道恶意的ip地址192.168.31.11
使用netstat -napt直接查出第三个在windows10中查询到的端口中
应急响应1-10
提交攻击者留下的webshell密码2 格式为:palu{00232}
导出html页面发现里面a.php的webshell木马
应急响应1-11
提交攻击者留下的隐藏账户的密码 flag格式为:palu{wmx_love}
首先通过工具在windows10 pc2上发现了这个system$隐藏用户
这里直接启动一个kali连到同一网段,利用msf生成一个windows木马并上传到windows中
执行反弹shell
通过getsystem提权
通过hashdump获取到system$的hash值然后到md5网站上去解码
对dbae99beb48fd9132e1cf77f4c746979 解码得到答案:wmx_love
应急响应1-12
[溯源]攻击者的邮箱. flag格式为:palu{xxx}
github api反查邮箱
应急响应1-13
提交溯源后得到的flag flag格式为:palu{xxx}
简历.exe 分析得到用户名
百度搜索得到github地址
确定
拿到flag
