1.堡垒机里面的flag
palu{2025_qiandao_flag}2.waf隐藏flag
点身份认证,再点配置就出了
palu{2025_waf}3.Mysql中的flag
没什么好说的,直接连上去就拿到了
数据库密码 root/mysql_QPiS8y
palu{Mysql_@2025}4.提交攻击者ip
从雷池上下载下来网站日志,然后直接分析发现有回显不正常的路径
很确定就是他了,套上palu交
palu{192.168.20.107}6.提交web业务泄露关键文件名
在雷池waf翻一翻
发现里面是ssh的公私钥
palu{key.txt}8.提交攻击者ip立足点
可以看到在雷池里面,一开始比较早的时候还是192.168.20.107这个地址,后面变成了108在向各种服务发起攻击
palu{192.168.20.108}9.攻击者使用的提权的用户和密码
这里从维护报告中看到:员工的账号密码都是parloo
然后又在sshserver中看到有parloo的账户,细看出了root和ubuntu以外其他账户中,只有parloo能登录,猜测黑客做了信息收集,然后ssh连上了sshserver
账号密码都是parloo
palu{parloo/parloo}10.黑客留下的文件
用这个命令:
此处失陷的账户parloo的id 是1001,所以查看某个用户最近修改过的文件命令如下:
find / -user 1001 -printf '%T@ %p\n' | sort -n | tail -1
palu{hi_2025_parloo_is_hack}12.恶意服务器连接ip
根据后面的做题时碰到的aa,丢到微步上面分析,然后动态调试部分发现一个ip
其实是我顺着做下去然后发现实在没辙了,就回头看了一眼,交了试一下
palu{47.101.213.153}14.信息泄露的服务端口
这个地方是有信息泄露的,我交了几百次palu{192.168.20.103:8081}就是不对,后面才发现是只要端口
palu{8081}15.项目经理身份证
在192.168.20.103翻一下1panel的网站更改日志
发现又是获取又是更新的,看看里面有什么
palu{310105198512123456}17.近源机器中恶意程序的MD5
我千方百计上传了一个everything,然后搜一下24题找到的svhost,结果发现除了常规的svhost.exe以外,还有一个svhost.exe.exe
两个分别做了一下hash,第一个不对,那只能是第二个了
palu{0f80a82621b8c4c3303d198d13776b34}18.提交账户md5
连上给数据库就行
palu{d78b6f30225cdc811adfe8d4e7c9fd34}19.提交内部群中的flag
直接打开内网通,再点聊天记录
palu{nbq_nbq_parloo}24.提交恶意维权软件的名称
因为安装的原因,发现有一个进程一进去就弹出停止工作
本能的反应,这是一个名称模拟的svchost的恶意程序,简单排查之后确认,然后提交
28.提交web服务泄露的key
我第一眼看就知道要从heapdump里面找了
但是手上的java环境太复杂,根本跑不动新的工具,只能用旧的工具慢慢找,死活找不到,最后找了队友要了一份更奇怪的版本工具,固定扫描某些关键词
palu{QZYysgMYhG6/CzIJlVpR2g==}30.攻击者留在server里面的账号密码
我这里是先做出31题再做30题的,排查了一下,发现就只有两个账户
root\ubuntu\parloohack
palu{parloohack/123456}31.攻击者维权方法的名称作为flag
原来你指的是服务的名称
登陆上server之后发现home文件夹下面的parloo账户文件夹下检查bash_histroy
发现这里是用了一个自启动服务去执行一个python脚本
palu{parloohack_script.service}32.提交攻击者恶意软件md5
在这里下载下来
丢到微步
拿到md5,提交
palu{4123940b3911556d4bf79196cc008bf4}36.提交恶意用户数量
我就装靶机的时候随便看了一眼,怎么有一百个用户?随便猜猜吧
猜对了
palu{99}37.提交恶意用户的账号密码
不好意思,我有一招从天而降的掌法
我直接上传mimikatz外加导出sam一气呵成
这里上面太长了,shell放不下,补一条命令:
lsadump::sam /sam:SAM /system:SYSTEM
得到一大堆一模一样的hash
拿去cmd5一查
palu{123456}38.提交业务数据中攻击者留下的信息作为flag进行提交
palu{crP1ZIVfqrkfdhGy}