2025palu应急响应主线

image-20250522214116582

1-提交堡垒机中留下的flag

最开始我以为这个堡垒机应该是waf机子,因为他这个分布图是在waf挨着互联网出口,后来发现是jump机子做跳板机(堡垒机),也不能这么说,他这整个网络都是外网段的

ss -tuln

image-20250522214935323

80端口开启着服务

算了,账号密码给了,登录就送

image-20250522215040872

2-waf中的flag

雷池waf

image-20250522220225202

3-数据库中的flag

image-20250522220939924

数据库开着,但是没mysql

image-20250522220857761

4-提交攻击者的攻击IP

/var/log/auth.log

解压.2的gz文件然后就能看到

image-20250522222643731

5-攻击者最早攻击时间

image-20250523132651888

6-web服务泄露的关键文件名

image-20250523132934370

7-泄露的邮箱地址

image-20250523133439253

8-攻击者新立足点

waf85页能看到攻击者使用的IP开始切换了

image-20250523133856295

9-攻击者提权用户

image-20250523134504959

可以看到后门用户,那么就john,我这不太好使,john缺模块

image-20250523154615645

10-提交攻击者留下的的文件内容作为flag提交

image-20250523142029288

11-提交权限维持方法服务的名称

ssh机子存在服务开机自启一个文件

  • systemctl status rootset.service

image-20250523143239233

12- 提交攻击者攻击恶意服务器连接地址作为flag提交

有历史聊天记录可以看

image-20250523145012760

把文件传出来,我懒得开vmtool或者开启web服务去传文件了,开共享

image-20250523145440129

image-20250523145939831

image-20250523151054271

我在Windows上打这个杯拦截了

image-20250523151616274

防火墙关了就好

image-20250523153014454

可疑文件运行报错,

image-20250523153432705

考奇安信沙箱出的

13-找到系统中被劫持的程序程序名作为flag提交

14-找到系统中存在信息泄露的服务运行端口作为flag提交

雷池waf与之对应

image-20250523155738133

image-20250523155836300

15-提交Parloo公司项目经理的身份证号作为flag提交

image-20250523160156384

16-提交存在危险功能的操作系统路径作为flag提交。

image-20250523160414225

这个路由存在命令执行

17-提交进源机器中恶意程序的MD5作为flag进行提交。

近源机器有提示,然后刚开机报错

在C:\windows\tmp目录下找到了它,然后获取hash

image-20250523161410613

18-恶意账户的md5

image-20250523160819643

19-内部群中留下的flag并提交

聊天记录一看就有

20-攻击者使用维护页面获取到的敏感内容作为flag进行提交

image-20250523162443524

翻日志拿字符串

21-提交获取敏感内容IP的第一次执行命令时间作为flag进行提交。

看那个执行命令的日志的开头

image-20250523162704576

22-提交攻击者使用的恶意ip和端口

image-20250523163116280

这里面有反弹shell,对应IP+端口

23-提交重要数据的名文内容作为flag提交

加密脚本找文件的,不做

24-提交恶意维权软件的名称作为flag进行提交

1
C:\Users\Parloo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

自启动文件夹有这玩意

palu{svhost}

25-提交恶意程序的外联地址

我想开文件共享传文件,win+r –cmd之后弹出个这玩意

image-20250523164845017

image-20250523173849379

解包有IP

26-提交攻击这使用的恶意dnslog域名作为flag进行提交

1
grep -rE '\b([a-zA-Z0-9-]+\.)+[a-zA-Z]{2,}\b' ./

image-20250523174321391

这个在server机子里有

27-提交寻找反序列化漏洞的端口作为flag进行提交

反序列化的雷池waf这不多,就这一个302

image-20250523174710655

28-web服务泄露的密钥作为flag进行提交

解jar包源码就行

image-20250523180123771

29-提交攻击者开始攻击的时间作为flag进行提交

30-提交攻击者在server中留下的账户密码作为flag进行提交。

1
2
3
4
john 4.txt --format=crypt 

john clean.txt --format=crypt --wordlist=/usr/share/wordlists/rockyou.txt
爆破shadow密码123456

31-提交攻击者维权方法的名称作为flag进行提交

image-20250523181156770

32-提交攻击者留下的木马md5后作为flag进行提交

image-20250523182055168

还是历史记录,然后

1
md5sum -t aa

33-提交攻击者留下的溯源信息作为flag进行提交

不懂攻击者为什么把自己网站的账号密码写受害者浏览器上

image-20250523182627333

34-提交攻击者的githubID作为flag进行提交

841366067

这个用户名是qq账号

img

根据api查id

image-20250523183459427

35-提交攻击者在github下留下的的内容作为flag进行提交

白给

36-提交恶意用户的数量作为flag进行提交

net user

image-20250523183701721

37-提交恶意用户的默认密码作为flag进行提交

image-20250523185612015

1
2
C:\Users\Parloo\AppData\Roaming\Microsoft\Windows\Recent
当前用户的最近使用

38-提交业务数据中攻击者留下的信息作为flag进行提交

image-20250523190423422

image-20250523191544970

39-提交私人git仓库中留下的内容作为flag进行提交

http://192.168.20.103:3000/

3000端口有个docker的服务,但是不全,怀疑没上传完

1
2
3
4
5
docker ps --format "table {{.ID}}\t{{.Names}}\t{{.Mounts}}"
可看出这个docker挂载了

git log --all --oneline
git show 260a8c1

image-20250523193239354

40-提交存在在mysql服务器中的恶意程序的MD5作为flag进行提交

1
2
3
他说的是mysql这台机子
root目录下ls -la
md5sum .a

41,42,43-提交恶意程序中模拟c2通信的函数名称作为flag进行提交+恶意程序创建隐藏文件的名称

点开就送

image-20250523194350557

image-20250523194246643

44-提交被钓鱼上线的用户名

之前看过了

palu{Parloo-子怡}

45-恶意程序的所在路径

同上

palu{C:\Users\Public\Nwt\cache\recv\Parloo-沉沉}

46-分析恶意程序的反连地址

抓包或者丢到沙箱

47-提交恶意c2的服务器登录的账号密码

浏览器里之前翻过