Solar 月赛-04
第一题
来到现场后,通过上机初步检查,细心的你发现了一些线索,请分析一下攻击者IP 地址和入侵时间
排查思路:先看看主要运行什么业务,在电脑上可以看到有瑞友天翼,我们可以检查瑞友天翼的日志,传一个everything上去,然后搜一搜access.log 看看网站日志
丢到web日志分析工具里面看日志
flag{192.168.56.128 21/04/2025}第二题
在溯源的过程中,现场的运维告诉你,服务器不知道为什么多了个浏览器,并且这段时间服务器的流量有些异常,你决定一探究竟找找攻击者做了什么,配置了什么东西? 格式:flag
那就先看看浏览器:
可以看到桌面有相关的安装包
那就从edge排查
可以看到有相关的下载文件
rclone不知道是什么软件,搜一下
发现是一个备份网盘的软件,那下载下来之后看看有没有相关的.conf文件,这里也是猜的,主要思路是如果攻击者使用,那肯定就会配置相关的文件,当中可能有他们的痕迹泄露
第三题
现场的运维说软件的某个跳转地址被恶意的修改了,但是却不知道啥时候被修改的,请你找到文件(C:\Program Files (x86)\RealFriend\Rap Server\WebRoot\casweb\Home\View\Index\index.html ) 最后被动手脚的时间
我没做出来,看wp:
可以使用数字取证工具--Autopsy分析
点击文件查看文件元数据,可以发现数据最后的修改时间才是真正攻击者篡改的时间
第四题
一顿分析后,你决定掏出你的Windows安全加固手册对服务器做一次全面的排查,果然你发现了攻击者漏出的鸡脚(四只)
flag格式为:flag
flag{zheshiyigenixiangbudaodeflag}通过排查启动项、计划任务、账号排查、系统服务分别获得flag片段,最终组成完整的flag
看看powershell日志
发现这里执行了update.ps1的脚本
查看服务然后出现了
然后再排查用户
用everything搜一下svchost.exe,看看有没有出了system32以外的svchost存在
第五题
轻轻松松的加固后,你需要写一份溯源分析报告,但是缺少了加密电脑文件的凶手(某加密程序),这份报告客户是不会感到满意的,请你想方法让客户认可这份报告吧
flag格式为:flag
平时特别低权限的目录也要看看
