就是去济南旅游了,顺带打个比赛。因为不交wp所以后面有几道题队友就没写wp了,没有什么复现价值,各位师傅去找大神的wp看看吧,这里只归个档
Server1:密码未知
Server2:zgsf@456
Server3:zgsf@qwe
root 密码皆为root
WindowsPC:zhangqilingniubi
远程桌面账号密码:administrator/rT4*6nB!7qw
修复Server2 GRUB
set root=(hd0,gpt2)
linux /boot/vmlinuz-6.11.0-25-generic root=/dev/sda2 ro
initrd /boot/initrd.img-6.11.0-25-generic
boot进入终端后,永久修复
sudo su root
cd ~
grub-install /dev/sda
update-grub应急响应
攻击者IP地址1(内网)| Sean
导出/var/log/auth.log查看外部的远程登陆请求
发现此内网IP多次尝试登陆,确定为攻击者内网IP
flag{192.168.162.128}
攻击者IP地址2(公网)| Sean
这个文件提取出来被火绒秒杀,扔沙箱找到外联地址111.170.148.147
flag{111.170.148.147}
木马文件的md5 | Sean
在C:\Windows\system\a下找到和上题一样的同名文件,并且有1.bat控制启动
扔沙箱发现MD5值不同,是两个文件,尝试该MD5,过了
flag{58D14B49AE060C19CC0E7B8F6CF54B8E}
flag 2 | Sean
flag{Hack_Base_area}
flag 3 | Sean
看浏览器地址栏记录,被删掉了,虚拟机上找不到
尝试访问得到
flag{666hackis888999}
flag 6 | Sean
server3下有很多数据库文件,在路径下/var/lib/mysql/userdb/users.ibd打开
flag 7 |
PC上取证大师搜索flag找到文件
flag 8.1 | soap
base64解码
flag{farebneitghbestijyy}
flag 8.2 | Sean
server2在路径下有该文件\boot\grub\hack.cfg
flag{aabb_hongqih9}
flag 9 |
windows回收站
flag{a1b2c3iamhack}
flag 10 |
Server2 回收站有flag10
勒索病毒
加密器的文件
