2024 帕鲁杯（复现）

网络拓扑

资产清单

题目

1. 找到 JumpServer 堡垒机中 flag 标签的值。
2. 提交攻击者第一次登录时间。
3. 提交攻击者源 IP。
4. 提交攻击者使用的 cve 编号。
5. 提交攻击者留在 Web 服务器上的恶意程序的 32 位小写 md5 值。
6. 分析恶意程序连接地址和密码。
7. 提交存在反序列化漏洞的端口。
8. 提交攻击者使用的后门路由地址。
9. 提交 dnslog 反弹域名。
10. 提交第一次扫描器使用时间。
11. 提交攻击者反弹 shell 使用的语言。
12. 提交攻击者反弹 shell 的 ip。
13. 提交攻击者留下的账号。
14. 提交攻击者的后门账户密码。
15. 提交测试数据条数。
16. 请提交攻击者留下的信息。
17. 请提交运维服务器上的恶意文件 md5。
18. 提交恶意文件的恶意函数。
19. 请提交攻击者恶意注册的恶意用户条数。
20. 请提交对博客系统的第一次扫描时间。
21. 提交攻击者下载的文件。
22. 请提交攻击者第一次下载服务器文件的时间。
23. 请提交攻击者留下的冰蝎马的文件名称。
24. 提交冰蝎的链接密码。
25. 提交办公区存在的恶意用户名。
26. 提交恶意用户密码到期时间。
27. 请对办公区留存的镜像取证并指出内存疑似恶意进程。
28. 请指出该员工使用的公司 OA 平台的密码。
29. 攻击者传入一个木马文件并做了权限维持，请问木马文件名是什么。
30. 请提交该计算机中记录的重要联系人的家庭住址。
31. 请提交近源靶机上的恶意文件哈希。
32. 提交恶意程序的外联地址。
33. 提交攻击者使用内网扫描工具的哈希。
34. 请提交攻击者在站点上留下的后门密码。
35. 请提交攻击者在数据库留下的信息。
36. 提交攻击者在监控服务器上留下的 dcnlog 地址。
37. 提交监控服务器上恶意用户的上一次登录时间。
38. 提交监控服务器上遗留的反弹 shell 地址和端口。
39. 提交恶意钓鱼文件的哈希。
40. 提交恶意文件外连 IP。
41. 提交被恶意文件钓鱼使用者的姓名。
42. 提交攻击者留下的信息。
43. 提交恶意用户数量。
44. 请提交员工集体使用的密码。
45. 提交加密文件的哈希。
46. 提交被攻击者加密的内容明文。
47. 请提交符合基线标准的服务器数量。
48. 提交办公区的恶意文件哈希。
49. 提交恶意回连端口。
50. 提交恶意程序中的 flag。
51. 提交恶意文件中的 search_for_text 内容。
52. 提交 web 服务器上攻击者修改后的 root 密码。

题解

1.签到

提交:[堡垒机的flag标签的值]

登录堡垒机的服务网址，在更多选项里翻到 flag

flag{BrYeaVj54009rDIZzu4O}

2.提交攻击者第一次登录时间

格式为:[2024/00/00/00:00:00]

切换到审计台，进行日志审计

查看登录日志

发现用户 test01 十分可疑，通常用户起名不会这样起名的，大概率是攻击者，它第一次登录的时间为

这里的 192.168.1.4 是什么？主机吗

flag{[2024/04/11/14:21:18]}

3. 提交攻击者源 IP。

192.168.1.4

4. 提交攻击者使用的 cve 编号。

搜索 jumpserver 3.10.6 版本的 cve

5. 提交攻击者留在 Web 服务器上的恶意程序的 32 位小写 md5 值。

先修改密码

然后查找木马

所以最后留在 web 服务器上的恶意程序为 home
使用 md5sum 计算 md5

6. 分析恶意程序连接地址和密码。

格式为:[md5(地址)-md5(密码)]全小写

可以看出是 python 编译的二进制文件
使用 pyinstxtractor 解包

然后使用 pycdc 反编译

mkdir -p output

find /mnt/d/Web_tools/pyinstxtractor/home_extracted -name "*.pyc" | while read f; do
    out="output/${f%.pyc}.py"
    mkdir -p "$(dirname "$out")"
    ./pycdc "$f" > "$out"
done

查找连接地址和木马

连接地址82.157.238.111，密码1qaz@WSX3edc

flag{e695461c231aee4ed46b201efca18ff8-7da188c2e2d83e38b7d9e75e500f1af8}

7. 提交存在反序列化漏洞的端口。

直接去 WAF 上看攻击事件，筛选反序列化

8080

8. 提交攻击者使用的后门路由地址。

启动docker

docker start my-flask-app
docker exec -it my-flask-app /bin/bash

后门路由地址

/api/system

9. 提交 dnslog 反弹域名。

0vqkht.palu.cn

10. 提交第一次扫描器使用时间。

可以看到从这里开始不同命令之间的时间非常紧凑，因此是使用扫描器

2024-04-14-18-26-59

11.提交攻击者反弹 shell 使用的语言。

python

12.提交攻击者反弹 shell 的 ip。

82.157.238.174

13.提交攻击者留下的账号。

palu.com

14. 提交攻击者的后门账户密码。

查看 shadow 文件

尝试 hashcat 爆破

密码 123123

15. 提交测试数据条数。

Mysql 1中

5条

16. 请提交攻击者留下的信息。

flag{hi_palu_f10g}

17. 请提交运维服务器上的恶意文件 md5。

计算它的 md5

18. 提交恶意文件的恶意函数。

ida

19.请提交攻击者恶意注册的恶意用户条数。

10个

20. 请提交对博客系统的第一次扫描时间。

这两个都是访问间隔较短，答案是 2024-04-16 21:06:01

21. 提交攻击者下载的文件。

other_vhosts_access.log

22. 请提交攻击者第一次下载服务器文件的时间。

2024/04/16 21:18:37

23. 请提交攻击者留下的冰蝎马的文件名称。

直接搜关键词就能搜到

nidewen.php

24. 提交冰蝎的链接密码。

同上
连接密码为

1be873048db838ac

25. 提交办公区存在的恶意用户名。

hacker

26. 提交恶意用户密码到期时间。

进入 cmd，输入

net user hacker

2024/5/28 21:40:37

27. 请对办公区留存的镜像取证并指出内存疑似恶意进程。

明显是恶意进程

.hack.ex 

28. 请指出该员工使用的公司 OA 平台的密码。

搜一下有没有密码文件

导出文件

发现密码

liuling7541

29. 攻击者传入一个木马文件并做了权限维持，请问木马文件名是什么。

在剪切板发现可疑文件

30. 请提交该计算机中记录的重要联系人的家庭住址。

搜索联系人，找到对应快捷方式的文件夹，发现王总.lnk

dump 下来之后找到指针指向的路径

搜索，找到联系人对应文件

dump 下来

秋水省雁荡市碧波区千屿山庄1号

31. 请提交近源靶机上的恶意文件哈希。

查看文件上传记录

有两个执行文件 artifact.exe geek.exe
artifact.exe 丢进云沙箱

确实是木马文件

artifact.exe

32. 提交恶意程序的外联地址。

101.78.63.44

33. 提交攻击者使用内网扫描工具的哈希。

发现内网扫描工具 fscan

发现被移动到了 /bin 文件夹下

1facdcd05c43ba4d37274dffc90b6d4e

34. 请提交攻击者在站点上留下的后门密码。

35. 请提交攻击者在数据库留下的信息。

先看看数据库是否开启了二进制日志或通用日志

查看日志


之后没思路了，换个思路。直接去论坛的数据库找

flag{hack_palu}

36. 提交攻击者在监控服务器上留下的 dcnlog 地址。

直接在 zabbix 数据库中查找 dcnlog 字符串

37. 提交监控服务器上恶意用户的上一次登录时间。

2024-04-17 12:54:09

38. 提交监控服务器上遗留的反弹 shell 地址和端口。

zabbix 默认服务网页 xxx/zabbix/

管理员默认账号密码 Admin/zabbix

base64 解码

"154.183.110.12",7890

39. 提交恶意钓鱼文件的哈希。

为什么又跳到 PC 机上了，，，

这个是钓鱼文件，为什么？不知道，，

da75025ff7f3b6baa27f5913c1c83063

40. 提交恶意文件外连 IP。

hyw，，，

41. 提交被恶意文件钓鱼使用者的姓名。

看看谁使用了该文件

陈琚鹭

弃坑，越做越发现这套题有点莫名奇妙，感觉出题人有点不太会的感觉