2025年Solar应急响应公益月赛-11月

2025年Solar应急响应公益月赛-11月

Aristore
  2025-11-29 18:10 2025-11-29 18:10 创建      1.3k 字  5 分钟  

应急响应

emergency

有一台客户的服务器被黑客入侵了,好在安全工程师开启了流量包,请你完成这些题目,提升服务器的安全性吧!

用户名:Administrator
密码:Qsnctf2025

链接: https://pan.baidu.com/s/1LxYbnbYPpzTj0eL1yRKxiA 提取码: db5g
压缩包密码:349df0a5061cfd47e375c8dba9c773d7

任务1

Challenge

任务名称:提交黑客的IP地址
提交格式为flag{0.0.0.0}

Solution

看日志

SolarIncidentResponse202511-1

1
flag{10.0.100.69}

任务2

Challenge

任务名称:提交黑客初始连接的PHP一句话木马密码
提交格式为flag{abc}

Solution

把D盾拖进去扫一下WWW

SolarIncidentResponse202511-2

1
flag{shell}

任务3

Challenge

任务名称:提交黑客通过初始连接一句话木马后创建新的一句话木马文件的MD5
提交格式为flag{md5}

Solution

从任务1的日志可以看到初始连接的一句话木马是 configs.cache.php,在此之后紧接着访问的是 shell.php

在流量数据包搜索 shell.php,虽然没找到原文件,但是能看到它的长度是 43

SolarIncidentResponse202511-3

找了一会没找到,猜测是被删除了,所有去垃圾桶找

SolarIncidentResponse202511-4

找到一个 43B 的,完美符合特征

1
flag{91a29f36879b024d661851b7765f3969}

任务4

Challenge

任务名称:提交黑客创建的不死马的密码
提交格式为flag{md5}

Solution

这里的不死马是位于 WWW 目录下的 .config.php(前面D盾扫出来的另一个木马)

SolarIncidentResponse202511-5

1
flag{4aad625950d058c24711560e5f8445b9}

任务5

Challenge

任务名称:提交黑客上传的恶意文件(远程控制木马)的名称
提交格式为flag{abc.exe}

Solution

流量数据包直接搜索字符串 .exe 就有了

SolarIncidentResponse202511-6

1
flag{shell.exe}

任务6

Challenge

任务名称:提交黑客上传的恶意文件(远程控制木马)的MD5
提交格式为flag{md5}

Solution

任务5中流90已经有shell.exe了,然而流85的时候还没有,推测是在86-89之间上传的

SolarIncidentResponse202511-7

一个个看只有流89往木马传了数据

SolarIncidentResponse202511-8

把载荷提出来用厨子十六进制转字符串就好了(这里顺便算下md5)

SolarIncidentResponse202511-9

1
flag{0410284ea74b11d26f868ead6aa646e1}

任务7

Challenge

任务名称:提交黑客上传的恶意文件(远程控制木马)的端口
提交格式为flag{1234}

Solution

接任务6,把文件导出来丢到沙箱分析奇安信情报沙箱

SolarIncidentResponse202511-10

1
flag{4444}

任务8

Challenge

任务名称:请提交黑客创建用户账户的用户名
提交格式为flag{username}

Solution

最后三题秒了

SolarIncidentResponse202511-11

1
flag{hidden$}

任务9

Challenge

任务名称:请提交黑客创建用户账户的密码
提交格式为flag{password}

Solution

同任务8

1
flag{P@ssw0rd123}

任务10

Challenge

任务名称:请提交黑客创建用户账户的时间
flag{2025/01/01 01:00:00}

Solution

同任务8

1
flag{2025/11/20 16:13:32}

勒索病毒

2700勒索病毒排查

某公司财务机器某天突然卡顿,任务管理器发现有程序在高占用,后续所有文件都无法打开,且所有文件都变成了.2700结尾的扩展名,目前通过一些特征判断是勒索病毒,比如勒索信以及文件名等,请您上机排查,并根据题目指引进行溯源和数据恢复。

所需工具在C:\Users\Solar\Desktop\工具\目录中

账号:Solar
密码:Solar521

靶机使用说明:https://mp.weixin.qq.com/s/XFisEU5Gdk245cn8jsnlZQ

任务1

Challenge

任务名称:此勒索家族名称是什么?
此勒索家族名称是什么?可访问应急响应.com进行查询,大小写敏感,最终以flag{}提交

Solution

直接搜后缀 2700

SolarIncidentResponse202511-12

1
flag{Phobos}

任务2

Challenge

任务名称:勒索病毒预留的ID是什么
勒索病毒预留的ID是什么(预留ID为勒索组织恢复的凭证),以flag{}提交,如有多个以&进行连接

Solution

随便找个文件看文件名

SolarIncidentResponse202511-13

1
flag{4A30C4F9-3524}

任务3

Challenge

任务名称:提交开始加密的时间
提交开始加密的时间,以flag{2025/1/1 11:11}格式提交

Solution

看修改时间

SolarIncidentResponse202511-14

1
flag{2025/11/19 14:31}

任务4

Challenge

任务名称:提交flag
访问:应急响应.com 找到此家族恢复工具进行恢复,提交C:\Users\Solar\Desktop\lSimulation_Desktop_Files\flag.txt文件中的flag

Solution

SolarIncidentResponse202511-15

下载工具 传上去恢复即可

1
flag{6eff1ea09e63423a48288a77d97e0cc6}

任务5

Challenge

任务名称:提交发送邮件的邮箱
提交C:\Users\Solar\Desktop\工具\mail 发送邮件的邮箱,以flag{xxx@xxx.com}格式提交

Solution

SolarIncidentResponse202511-16

1
flag{1983929223@qq.com}

任务6

Challenge

任务名称:提交发送邮件的IP
提交C:\Users\Solar\Desktop\工具\mail 发送邮件的IP,以flag{x.x.x.x}格式提交

Solution

同上题

1
flag{39.91.141.213}

任务7

Challenge

任务名称:提交钓鱼附件中的C2地址
提交钓鱼附件中的C2地址,以flag{x.x.x.x}格式提交

Solution

附件解压得到 发票.pdf.exe,丢到奇安信情报沙箱分析

SolarIncidentResponse202511-17

1
flag{182.9.80.123}

任务8

Challenge

任务名称:提交flag
部分数据丢失,好在运维之前做了备份,使用C:\Users\Solar\Desktop\工具\diskgenus恢复C:\Users\Solar\Desktop\工具\backup中的备份内:C:\Users\Solar\Desktop\flag.bak文件,提交其flag

Solution

SolarIncidentResponse202511-18

1
flag{92047522e5080bad36eda9d29d5a163e}
  • 标题: 2025年Solar应急响应公益月赛-11月
  • 作者: Aristore
  • 创建于 : 2025-11-29 18:10:00
  • 更新于 : 2025-11-29 18:18:38
  • 链接: https://www.aristore.top/posts/SolarIncidentResponse202511/
  • 版权声明: 版权所有 © Aristore,禁止转载。
评论
目录
2025年Solar应急响应公益月赛-11月
  1. 应急响应
    1. emergency
    2. 任务1
      1. Challenge
      2. Solution
    3. 任务2
      1. Challenge
      2. Solution
    4. 任务3
      1. Challenge
      2. Solution
    5. 任务4
      1. Challenge
      2. Solution
    6. 任务5
      1. Challenge
      2. Solution
    7. 任务6
      1. Challenge
      2. Solution
    8. 任务7
      1. Challenge
      2. Solution
    9. 任务8
      1. Challenge
      2. Solution
    10. 任务9
      1. Challenge
      2. Solution
    11. 任务10
      1. Challenge
      2. Solution
  2. 勒索病毒
    1. 2700勒索病毒排查
    2. 任务1
      1. Challenge
      2. Solution
    3. 任务2
      1. Challenge
      2. Solution
    4. 任务3
      1. Challenge
      2. Solution
    5. 任务4
      1. Challenge
      2. Solution
    6. 任务5
      1. Challenge
      2. Solution
    7. 任务6
      1. Challenge
      2. Solution
    8. 任务7
      1. Challenge
      2. Solution
    9. 任务8
      1. Challenge
      2. Solution