应急响应部分

1. 资源链接与说明

• 百度网盘链接：https://pan.baidu.com/s/1am2UEH1Djcu1IcujxuHDGQ?pwd=7179
• 解压密码：Network@@ZGSF&One-FoxSelfTeam

涉及机器说明

以下是需要的机器，由于时间跨度较长，JumpServer的策略可能会删除部分日志（不确定）。实际操作中存在日志文件缺失的情况，尝试重新安装后问题未解决，相关机器截图如下：

2. 题目列表

1. 找到JumpServer堡垒机中flag标签的值。
2. 提交攻击者第一次登录时间。
3. 提交攻击者源IP。
4. 提交攻击者使用的cve编号。
5. 提交攻击者留在Web服务器上的恶意程序的32位小写md5值。
6. 分析恶意程序连接地址和密码。
7. 提交存在反序列化漏洞的端口。
8. 提交攻击者使用的后门路由地址。
9. 提交dnslog反弹域名。
10. 提交第一次扫描器使用时间。
11. 提交攻击者反弹shell使用的语言。
12. 提交攻击者反弹shell的ip。
13. 提交攻击者留下的账号。
14. 提交攻击者的后门账户密码。
15. 提交测试数据条数。
16. 请提交攻击者留下的信息。
17. 请提交运维服务器上的恶意文件md5。
18. 提交恶意文件的恶意函数。
19. 请提交攻击者恶意注册的恶意用户条数。
20. 请提交对博客系统的第一次扫描时间。
21. 提交攻击者下载的文件。
22. 请提交攻击者第一次下载服务器文件的时间。
23. 请提交攻击者留下的冰蝎马的文件名称。
24. 提交冰蝎的链接密码。
25. 提交办公区存在的恶意用户名。
26. 提交恶意用户密码到期时间。
27. 请对办公区留存的镜像取证并指出内存疑似恶意进程。
28. 请指出该员工使用的公司OA平台的密码。
29. 攻击者传入一个木马文件并做了权限维持，请问木马文件名是什么。
30. 请提交该计算机中记录的重要联系人的家庭住址。
31. 请提交近源靶机上的恶意文件哈希。
32. 提交恶意程序的外联地址。
33. 提交攻击者使用内网扫描工具的哈希。
34. 请提交攻击者在站点上留下的后门密码。
35. 请提交攻击者在数据库留下的信息。
36. 提交攻击者在监控服务器上留下的dcnlog地址。
37. 提交监控服务器上恶意用户的上一次登录时间。
38. 提交监控服务器上遗留的反弹shell地址和端口。
39. 提交恶意钓鱼文件的哈希。
40. 提交恶意文件外连IP。
41. 提交被恶意文件钓鱼使用者的姓名。
42. 提交攻击者留下的信息。
43. 提交恶意用户数量。
44. 请提交员工集体使用的密码。
45. 提交加密文件的哈希。
46. 提交被攻击者加密的内容明文。
47. 请提交符合基线标准的服务器数量。
48. 提交办公区的恶意文件哈希。
49. 提交恶意回连端口。
50. 提交恶意程序中的flag。
51. 提交恶意文件中的search_for_text内容。
52. 提交web服务器上攻击者修改后的root密码。

3. 部分题目解答（Solve）

题目1：找到JumpServer堡垒机中flag标签的值 - 解答

1. 登录信息：
   • 系统登录：home/home1234!!!
   • Web登录地址：http://192.168.20.123:8080，账号密码：admin/Network@2020
2. 操作步骤：登录Web界面后，在「更多选项」中的「标签」里找到flag。
3. 截图佐证：
4. 结果：flag: BrYeaVj54009rDIZzu4O

题目2：提交攻击者第一次登录时间 - 解答

1. 操作步骤：进入JumpServer的「审计台」，时间范围选择「2024-04-1 至 2024-05-31」，筛选攻击者登录记录。
2. 截图佐证：
3. 结果：

   1	[2024/04/11/14:21:18]

题目3：提交攻击者源IP - 解答

1. 操作步骤：进入JumpServer的「控制台」→「资产」，选择「JumpServer」资产，查看远程登录记录中的源IP。
2. 截图佐证：
3. 结果：

   1	192.168.1.4

题目5：提交攻击者留在Web服务器上的恶意程序的32位小写md5值 - 解答

1. 操作步骤：
   • 先扫描Web服务器开放端口，确认目标路径；
   • 复制磁盘文件到本地，使用diskgenius工具扫描磁盘内容；
   • 在~（根目录）下发现可疑文件home。
2. 截图佐证：
   • 
   • 
3. 结果：

   1	[84413332e4e7138adc5d6f1f688ddd69]

题目7：提交存在反序列化漏洞的端口 - 解答

1. 已知信息：
   • Web地址：https://192.168.20.123:9443
   • Web账号密码：admin/mQzm7LqF
   • 终端账号密码：home/home1234!!!
2. 漏洞定位：经测试，8080端口存在反序列化漏洞。
3. 截图佐证：
4. 结果：

   1	[d4a973e303ec37692cc8923e3148eef7]

题目8：提交攻击者使用的后门路由地址 - 解答

1. 操作步骤：
   • 回到JumpServer，进入「文件上传」模块，发现可疑文件palu-python-flask.tar；
   • 进入命令界面，搜索该文件相关的执行命令，重点排查docker相关操作（攻击者常通过容器部署后门）。
2. 截图佐证：
   • 
   • 
3. 说明：需结合docker容器启动参数或配置文件，进一步确认后门路由地址（原文档暂未提供完整结果，需补充后续排查步骤）。

题目9：提交dnslog反弹域名 - 解答

1. 操作步骤：查看服务器日志文件log.txt，筛选dnslog相关记录。
2. 截图佐证：
3. 结果：

   1	0vqkht.palu.cn

题目10：提交第一次扫描器使用时间 - 解答

1. 分析思路：扫描器通常会高频执行相同命令（如ls、nmap），通过日志筛选高频命令的首次执行时间。
2. 操作步骤：
   • 查看命令执行日志，发现某时间段ls命令执行频率异常；
   • 将该时间段的Unix时间戳转换为标准时间，即为第一次扫描器使用时间。
3. 截图佐证：
4. 说明：需补充Unix时间戳转换后的具体时间（原文档暂未提供完整结果）。

题目11：提交攻击者反弹shell使用的语言 - 解答

1. 操作步骤：查看log.txt日志，搜索reverse shell或反弹相关关键字，发现使用python执行反弹命令。
2. 截图佐证：
3. 结果：python

题目12：提交攻击者反弹shell的ip - 解答

1. 操作步骤：同题目11的log.txt日志，在反弹shell命令中提取目标IP。
2. 截图佐证：
3. 结果：需从截图命令中提取IP（如192.168.xx.xx，原文档截图需进一步确认具体值）。

题目13：提交攻击者留下的账号 - 解答

1. 操作步骤：查看服务器/etc/passwd文件，筛选非默认创建的可疑账号。
2. 截图佐证：
3. 结果：palu

题目14：提交攻击者的后门账户密码 - 解答

1. 操作步骤：通过日志或配置文件，发现后门账户palu的密码记录。
2. 截图佐证：
3. 结果：账号：palu.com | 密码：123123（格式：u/p palu.com/123123）

题目15：提交测试数据条数 - 解答

1. 操作步骤：查看数据库或应用日志中的测试数据记录，统计条目数量。
2. 截图佐证：
3. 结果：5条

题目16：请提交攻击者留下的信息 - 解答

1. 操作步骤：查看服务器中的隐藏文件、日志或配置文件，提取攻击者留下的标识信息。
2. 截图佐证：
3. 说明：需从截图中提取具体信息（如攻击者昵称、留言等，原文档暂未提供文字结果）。

题目17：请提交运维服务器上的恶意文件md5 - 解答

1. 操作步骤：
   • 进入JumpServer的lib目录，发现可疑文件helloworld；
   • 使用md5sum命令计算该文件的MD5值。
2. 截图佐证：
3. 说明：需补充md5sum helloworld执行后的具体MD5值（原文档暂未提供完整结果）。

题目19：请提交攻击者恶意注册的恶意用户条数 - 解答

1. 操作步骤：查看用户管理日志或数据库user表，统计非管理员创建的可疑用户数量。
2. 截图佐证：
3. 结果：10条

题目21：提交攻击者下载的文件 - 解答

1. 操作步骤：查看Web服务器（雷池WAF）的访问日志，筛选GET或DOWNLOAD请求，发现攻击者下载upload.zip。
2. 截图佐证：
3. 结果：雷池waf中的upload.zip

题目22：请提交攻击者第一次下载服务器文件的时间 - 解答

1. 操作步骤：查看/var/log/apache2/other_vhosts_access.log.1日志文件，搜索upload.zip对应的下载记录，提取首次下载时间。
2. 说明：需补充日志中upload.zip的首次访问时间（原文档暂未提供完整结果）。

题目25：提交办公区存在的恶意用户名 - 解答

1. 操作步骤：在办公区Windows服务器中，执行net user命令，筛选可疑用户。
2. 截图佐证：
3. 结果：hacker

题目26：提交恶意用户密码到期时间 - 解答

1. 操作步骤：在办公区Windows服务器中，执行net user hacker命令，查看密码到期时间。
2. 截图佐证：
3. 结果：需从net user hacker输出中提取密码到期时间（如“2024-xx-xx”，原文档截图需进一步确认）。

题目27：请对办公区留存的镜像取证并指出内存疑似恶意进程 - 解答

1. 操作工具：Volatility（vol.py），镜像文件：palu1/raw.raw
2. 操作命令：

   1	python3 vol.py -f palu1/raw.raw windows.pslist

3. 截图佐证：
4. 说明：需从windows.pslist输出中筛选疑似恶意进程（如未知路径、异常名称的进程，原文档暂未提供具体进程名）。

题目34：请提交攻击者在站点上留下的后门密码 - 解答

1. 操作步骤：进入WAF管理界面，查看攻击者留下的后门配置，发现密码为123。
2. 截图佐证：
3. 结果：123

题目35：请提交攻击者在数据库留下的信息 - 解答

1. 操作步骤：连接数据库（如MySQL、PostgreSQL），查看攻击者创建的表或插入的记录。
2. 截图佐证：
3. 说明：需从截图中提取数据库中的具体信息（如恶意数据、后门账号等，原文档暂未提供文字结果）。

题目36：提交攻击者在监控服务器上留下的dcnlog地址（格式：[xxx.xx.xx]） - 解答

1. 操作步骤：查看监控服务器的日志或配置文件，筛选dcnlog相关域名。
2. 截图佐证：
3. 结果：palu.dcnlog.cn（格式：[palu.dcnlog.cn]）

题目37：提交监控服务器上恶意用户的上一次登录时间 - 解答

1. 操作步骤：查看监控服务器的用户登录日志（如/var/log/auth.log），筛选恶意用户的登录记录。
2. 截图佐证：
3. 说明：需从截图中提取具体时间（如“2024-xx-xx xx:xx:xx”，原文档暂未提供完整结果）。

题目38：提交监控服务器上遗留的反弹shell地址和端口 - 解答

1. 操作步骤：查看监控服务器的进程列表或网络连接（如netstat -anp），提取反弹shell的IP和端口。
2. 截图佐证：
   • 
   • 
3. 结果：

   1	154.183.110.12,7890

题目39：提交恶意钓鱼文件的哈希 - 解答

1. 操作步骤：找到服务器中的钓鱼文件（如钓鱼.docx、恶意.exe），使用md5sum或sha256sum计算哈希值。
2. 截图佐证：
3. 说明：需补充具体哈希值（如MD5/SHA256，原文档暂未提供完整结果）。

题目40：提交恶意文件外连IP（奇安信沙箱） - 解答

1. 操作步骤：将恶意文件上传至奇安信沙箱，查看沙箱报告中的“网络行为”模块，提取外连IP。
2. 说明：需补充沙箱报告中的具体IP（原文档暂未提供完整结果）。

题目41：提交被恶意文件钓鱼使用者的姓名（格式：[xxx]） - 解答

1. 操作步骤：查看钓鱼文件的访问日志或受害者设备的操作记录，提取使用者姓名。
2. 截图佐证：
3. 结果：需从截图中提取姓名（格式：[张三]，原文档暂未提供具体值）。

题目43：提交恶意用户数量 - 解答

1. 操作步骤：统计服务器中所有非默认创建的可疑用户（含系统用户、应用用户）数量。
2. 截图佐证：
3. 说明：需从截图中提取具体数量（如“5个”，原文档暂未提供完整结果）。

题目44：请提交员工集体使用的密码 - 解答

1. 操作步骤：
   • 在办公区Windows服务器中，安装vm-tool，进入C:\Windows\System32\config目录，复制SAM和SYSTEM文件；
   • 将文件下载到Kali Linux，使用samdump2工具提取哈希：

     1	samdump2 system sam > hash.txt

   • 分析哈希值，发现所有员工密码相同。
2. 截图佐证：
   • 
   • 
3. 结果：Network@2020

题目45：提交加密文件的哈希 - 解答

1. 操作步骤：找到攻击者加密的文件（如加密文档.txt），使用md5sum计算哈希值，解密提示为“随波逐流巴卡玛卡”。
2. 结果：随波逐流巴卡玛卡解密（需补充加密文件的具体哈希值，原文档暂未提供完整结果）。

题目47：请提交符合基线标准的服务器数量 - 解答

1. 操作步骤：使用基线检查工具（如OpenSCAP、LYNC）扫描所有服务器，统计符合基线标准的数量。
2. 截图佐证：
3. 说明：需从截图中提取具体数量（如“2台”，原文档暂未提供完整结果）。