【官方WP】第一届solar杯·应急响应挑战赛官方题解

就在几天前，第一届Solar杯·应急响应挑战赛圆满落下帷幕。这场比赛汇聚了来自全国的网络安全精英，选手们在激烈的技术较量中展现了非凡的能力和智慧。为延续比赛的技术交流与分享精神，我们很高兴向大家呈现本次比赛的官方WP（Writeup）。本篇官方WP将深入解析比赛中的关键赛题，从流量分析到勒索病毒破解，逐步还原真实案例中的技术细节与解决思路。 需要特别说明的是，文中所呈现的这些方法和思路，均基于真实应急响应场景设计，虽然可能并非所有情况下的最优解，但我们希望它们能够为您提供有价值的参考，助力您在未来的应急响应中更加高效地应对复杂多变的安全挑战。让我们一同走进这场技术盛宴，探索网络安全应急响应的更多可能！

1.流量分析

1.1 文件排查

新手运维小王的Geoserver遭到了攻击：

黑客疑似删除了webshell后门，小王找到了可能是攻击痕迹的文件但不一定是正确的，请帮他排查一下。

从日志分析得知攻击者ip为10.0.100.22对该站点有目录扫描行为与b.jsp交互频繁疑似为上传webshell

当访问 JSP 页面时，Tomcat 会根据 JSP 页面动态生成一个 Java 类（.java），然后将其编译为 .class 文件。生成的 .class 文件是 Tomcat 用来处理请求并返回响应的实际代码。这个过程是动态的，Tomcat 会在后台管理这些文件的编译和更新。路径一般为：<Tomcat_home>/work/Catalina/<host>/<webapp>/org/apache/jsp/

查看b_jsp.java判断为哥斯拉webshell

base64解码code

f!l^a*g{A7b4_X9zK_2v8N_wL5q4}

1.2 流量解密

新手运维小王的Geoserver遭到了攻击：

小王拿到了当时被入侵时的流量，其中一个IP有访问webshell的流量，已提取部分放在了两个pcapng中了。请帮他解密该流量。

flag{sA4hP_89dFh_x09tY_lL4SI4}

1.3 文件提取

新手运维小王的Geoserver遭到了攻击：

小王拿到了当时被入侵时的流量，黑客疑似通过webshell上传了文件，请看看里面是什么。

使用流量解密工具进行解密流量并删除无用部分后另存为pdf

flag{dD7g_jk90_jnVm_aPkcs}

2.数据库

说明：由于黑客在攻击时可能会修改用户口令、锁定登陆、破坏系统导致无法进入操作系统，因此本题不提供密码

VMware虚拟机进入pe系统： pe镜像下载地址

https://www.hotpe.top/download/

在虚拟机编辑设置CD/DVD处选择pe镜像

选择电源–>打开电源时进入固件

在boot选项中调整启动顺位

可以在源系统盘看到勒索信X3rmENR07.README.txt，被加密的文件后缀为.X3rmENR07

搜索后缀名得知为lockbit勒索家族

2.1 攻击者创建隐藏账户的时间

查看原系统Security.evtx日志文件

flag

flag{2024/12/16 15:24:21}

2.2 恶意文件的名称

flag{xmrig.exe}

2.3 外联地址

在恶意文件的配置文件中可以看到外联的url为“sierting.com”