2024 Solar应急响应

日志流量

1.1文件排查

题目描述：新手运维小王的Geoserver遭到了攻击：
黑客疑似删除了webshell后门，小王找到了可能是攻击痕迹的文件但不一定是正确的，请帮他排查一下。

附件在tomcat-wireshark文件夹。很明显猜出是tomcat服务器

官方提示：当访问 JSP 页面时，Tomcat 会根据 JSP 页面动态生成一个 Java 类（.java），然后将其编译为 .class 文件。生成的 .class 文件是 Tomcat 用来处理请求并返回响应的实际代码。这个过程是动态的，Tomcat 会在后台管理这些文件的编译和更新。路径一般为：

<Tomcat_home>/work/Catalina/<host>/<webapp>/org/apache/jsp/

因此直接用该路径即可找到木马文件b_jsp.java。

更暴力的方法是直接放D盾扫

打开文件发现一串base64

拿去解密即可f!l^a*g{A7b4_X9zK_2v8N_wL5q4}

我们在仔细观察此java文件，发现xc,ClassLoader等特征，判断为哥斯拉webshell(aes加密生成的

1.2流量解密

题目描述：新手运维小王的Geoserver遭到了攻击：
小王拿到了当时被入侵时的流量，其中一个IP有访问webshell的流量，已提取部分放在了两个pcapng中了。请帮他解密该流量。

根据题目一可以判断出为哥斯拉webshell。追踪http流发现大量访问b.jsp木马文件的流量。我们耐心一个个解密查看即可

利用蓝队工具解密

1.3流量解密

题目描述：新手运维小王的Geoserver遭到了攻击：

小王拿到了当时被入侵时的流量，黑客疑似通过webshell上传了文件，请看看里面是什么。

我们继续将流量进行解密，当到达一串最大的加密字符后我们解密可以看到是个flag.pdf

cyberchef梭一下发现是gz压缩包

保存为gz压缩包，解压后修改后缀为pdf然后打开即可

内存取证

2.1请找到rdp连接的跳板地址

rdp连接的端口为3389

所以我们直接查找3389端口的ip

lovelymem查看网络信息后直接搜索端口3389

可以看到192.168.60.150开启3389端口监听。192.168.60.220的34121端口成功连接上来。

所以ip为192.168.60.220

2.2请找到攻击者下载黑客工具的IP地址

直接vol2的控制台查看

看到黑客输入了以下命令下载mimikatz

所以ip为155.94.204.67

2.3攻击者获取的“FusionManager节点操作系统帐户（业务帐户）”的密码是什么

利用vol2进行文件扫描，全局搜索发现有个pass.txt

导出后查看

密码：GalaxManager_2012

2.4请找到攻击者创建的用户

关于用户的信息电脑一般会保存在security.evtx文件中

我们直接导出所有eventlog，然后查看security.evtx（将该evtx文件导出为csv）

搜索关键词new account即可找到

ASP.NET

2.5请找到攻击者利用跳板rdp登录的时间

第一问的截图里就有

flag{2024/12/20 16:15:34}

3.6 攻击者创建用户的密码哈希值

我们已经知道创建的用户是ASP.NET。直接查看系统默认密码即可

5ffe97489cbec1e08d0c6339ec39416d