solar应急响应-7月

solar应急响应-7月

【任务1】VOL_EASY

某企业服务器近日遭受隐秘入侵。安全团队通过日志溯源发现，黑客利用Web应用漏洞植入恶意后门，根据溯源的信息配合警方逮捕了黑客，安全团队已经紧急保存了黑客电脑的内存转储文件，请你开始取证以便固定证据。

黑客上传的**一句话木马**密码是多少？

核心特征是：

1. 存在特定函数（如eval、assert）与接收参数（即密码，如pass）
2. 通常会在 Web 服务进程（如httpd.exe、nginx.exe、w3wp.exe）的内存中留下痕迹
3. 可能关联到 Web 目录下的恶意文件（如shell.php）

首先看到附件给的.vmem文件以及题目名vol，想到用Volatility工具进行内存取证分析

vol -f vol_easy.vmem windows.pslist        #查看进程

在文件中搜索是否有.php文件类似的webshell

vol -f vol_easy.vmem windows.filescan | grep -i "\.php"

发现有个ezshell.php.txt，很可能就是一句话木马所在的文件，那么接下来就是提取文件，发现文件保存在了file.0x7ddf2280.0xfa801af79b30.DataSectionObject.ezshell.php.txt.dat，这个.dat文件夹中

vol -f vol_easy.vmem windows.dumpfiles --physaddr 0x7ddf2280  #使用 dumpfiles 插件提取文件

那么查看文件夹并查看文件

得到了一句话木马的密码 solar

【任务2】VOL_EASY

黑客使用的木马连接工具叫什么（比如xx.exe）

一句话木马通常运行在 Web 服务进程中，那么就要查看系统当前正在运行的进程相关信息

可以发现两个比较敏感的进程 antsword 和iexplore 蚁剑和IE浏览器，显然连接工具就是蚁剑，Antsword.exe

【任务3】VOL_EASY

黑客使用的木马连接工具的位置在哪里（比如C:\xxxx\xx.exe)

vol -f vol_easy.vmem windows.pslist | grep "AntSword.exe"   #查看AntSword.exe

vol -f vol_easy.vmem windows.cmdline --pid 1716          #使用 cmdline 插件查看命令行参数

得到了AntSword.exe的文件位置 C:\Tools\AntSword-Loader-v4.0.3-win32-x64\AntSword.exe

【任务4】VOL_EASY

黑客获取到的FLAG是什么？

直接在文件中搜索flag，看下会不会有

vol -f vol_easy.vmem windows.filescan | grep -i "flag"

发现有flag.txt的文件，那么查看

vol -f vol_easy.vmem windows.dumpfiles --physaddr 0x7da684a0
#提取文件
 ls -a *.dat    #查看文件夹
 cat file.0x7da684a0.0xfa801b23e7f0.DataSectionObject.flag.txt.dat      #查看信息

得到 flag{ok!get_webshell_is_good_idea~}

【任务5】VOL_EASY

黑客入侵的网站地址是多少（只需要http://xxxxx/）

这个题当时看的时候是没有思路的，然后搜了一些vol3的命令尝试，但总说语法错误，事后看大佬的wp，发现大多用的是vol2.6，那么我尝试用2.6发现可行

使用YARA扫描技术搜索所有包含 ‘shell.php’ 字符串的内存位置

./vol2 -f ../vol_easy.vmem --profile=Win7SP1x64 yarascan -Y "shell.php"

发现在iexplore.exe进程下有个网址

http://192.168.186.140/

【任务6】VOL_EASY

黑客入侵时，使用的系统用户名是什么

这题当时也有点迷，Windows用户账户信息存储在注册表的SAM hive中，那么就要找到SAM的虚拟地址，来提取用户列表

./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 hivelist    #找SAM虚拟地址

./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 printkey -o 0xfffff8a0000a8010 -K "SAM\Domains\Account\Users\Names"         #提取注册表

-o 0xfffff8a0000a8010
-o：指定注册表 hive 的虚拟地址

0xfffff8a0000a8010：SAM 注册表 hive 的内存地址

-K "SAM\Domains\Account\Users\Names"
-K：指定要读取的注册表路径

"SAM\Domains\Account\Users\Names"：SAM数据库中存储用户账户名的注册表路径

发现注册表中有两个用户

看了其他大佬的wp ，还可以直接使用hashdump或者mimikatz

 ./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 hashdump

然后只有两个用户，进行尝试发现是 Administrator，可能是因为权限大小的原因

【任务7】VOL_EASY

黑客创建隐藏账户的密码是多少？

隐藏用户是solar$，攻击的信息可能在蚁剑内存中

蚁剑的工作方式

1. AntSword 是一个webshell管理客户端
2. 它会保存所有连接的webshell信息
3. 内存中会残留连接历史、命令记录、文件操作等

可能包含的关键信息

1. webshell连接地址 - http://攻击者的服务器/shell.php
2. 攻击者服务器IP和端口
3. 所有执行的命令（文件上传、下载、执行等）
4. 保存的会话和配置信息
5. 加密密钥和认证信息

./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 yarascan -Y "solar$" -C 100

yarascan

• 插件名称：YARA内存扫描插件，用于在内存中搜索特定模式

-Y "solar$"

• -Y - YARA扫描规则参数
• "solar$" - 要搜索的字符串，$表示字符串结尾，即精确匹配"solar"

-C 100

• -C - 上下文行数参数
• 100 - 显示匹配项周围的100行上下文内容

得到账户密码 solar2025

【任务8】VOL_EASY

黑客首次操作靶机的关键程序是什么？

这个题也是没想出来，赛后看别人的wp才慢慢的理解，主要是用了pstree

pstree 的主要作用：

1. 揭示进程关系
   父进程-子进程关系：显示进程的启动来源

​ 进程依赖关系：了解进程间的调用关系

2. 识别异常进程
   可疑的父进程：如浏览器启动cmd.exe

​ 异常的进程树：不正常的进程嵌套关系

3. 追踪攻击链
4. 时间线分析
   进程启动时间：确定攻击时间序列

​ 进程持续时间：分析攻击持续时间

5. 取证价值：
   确定攻击入口点（哪个进程最先被利用）

​ 追踪横向移动（进程如何传播）

​ 识别持久化机制（常驻进程）

​ 发现隐藏进程（不正常的进程关系）

./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 pstree   #查看进程树

查看进程树发现了lsass.exe进程

为什么lsass.exe是关键进程呢

从 lsass.exe 中可以获取：

1. 所有本地用户密码哈希
2. 域缓存凭据（如果加入域）
3. 自动登录密码
4. 服务账户密码
5. Kerberos认证材料

攻击者利用方式：

1. 转储lsass内存（使用mimikatz、procdump等工具）
2. 提取哈希和凭据
3. 密码破解或哈希传递攻击
4. 横向移动和权限提升

除了看到进程树中的lsass.exe，我在AntSword.exe的内存中也看到了与之相关的dump_lass.bat

看到了一句话，dump_lass实际上是lsass，也就是dump了lass程序的内存转储文件，dump_lass = dump + lsass，那么这里也可以发现lsass.exe

【任务9】VOL_EASY

该关键程序的PID是多少？

也是在进程树上看，pid = 452，但是我输入答案的时候不对

那我换个方法，使用YARA扫描技术搜索所有包含 lsass.exe 字符串的内存位置，然后发现了PID是456

./volatility_2.6_lin64_standalone/vol2 -f vol_easy.vmem --profile=Win7SP1x64 yarascan -Y "lsass.exe" -C 100

【任务10】VOL_EASY

该关键程序的内存文件保存到了什么地方？

直接在包含 字符串的内存位置找，然后就发现了， C:\phpstudy_pro\WWW\lsass.dmp

应急大师1

查找隐藏用户，那么可以在本地用户和组中查看

lusrmgr.msc

发现了隐藏用户 solar$

应急大师2

查找黑客ip，黑客是远程入侵的电脑，那么可以打开事件查找器，查看日志，打开安全，筛选事件ID为4648（远程登入），通过查看发现了可疑ip 192.168.186.139

应急大师3

phpstudy_pro——集成的PHP开发环境套件

安装PHPStudy_Pro后，通常会获得以下核心组件：

1. Web服务器：
   • Apache： 最流行的Web服务器之一。
   • Nginx： 以高性能著称的Web服务器和反向代理服务器。
   • 特点： PHPStudy允许你在这两者之间一键切换，非常方便。
2. PHP解释器：
   • 软件集成了多个版本的PHP（例如从古老的PHP 5.2到最新的PHP 8.x）。
   • 你可以随时切换PHP的版本，这对于测试网站在不同PHP环境下的兼容性极其有用。
3. 数据库：
   • MySQL 或 MariaDB： 用于存储网站数据的关系型数据库。
   • 通常会提供一个图形化管理工具，如 phpMyAdmin，让你可以通过浏览器轻松管理数据库。
4. 其他工具：
   • FTP服务器： 用于文件传输。
   • Redis / Memcached： 用于缓存，提升网站性能。
   • 网站管理功能： 图形化界面创建网站、设置域名、管理SSL证书等。

那么一句话木马通常和web服务器相关，那么我么就可以查看phpstudy_pro的目录，然后在www目录下的upload文件夹里发现了.php文件

直接打开打不开，那么复制在桌面重命名为.txt文件，得到一句话木马

solar2025

应急大师4

查找黑客创建隐藏用户的TargetSid（目标账户安全ID），那么也是在事件查看器中查找，筛选事件ID4720（创建用户）

得到 S-1-5-21-3845547894-970975367-1760185533-1000

应急大师5

2025/7/23 17:05:45

应急大师6

黑客将这个隐藏用户先后加入了哪几个用户组？

这个一开始没有思路，后面想想会不会加入用户组也有对应的事件ID，然后就搜索得到事件4732-新用户加入管理员组，筛出来了两个事件估摸着对应了先后两个用户组

查看信息，得到 Users-Administrators

然后看其他大佬的wp发现也可以直接查看组的属性，来查看组中的成员

应急大师7

远程登入，那么直接就是第二题

192.168.186.139:49197