2025年Solar应急响应公益月赛-4月 部分Writeup

1.你是一名网络安全工程师。早上10点，客户说自己被勒索了，十万火急，你需要：6 小时内查明攻击路径，对系统安全加固，提交最终的报告。刻不容缓，请开始你的溯源任务吧！来到现场后，通过上机初步检查，细心的你发现了一些线索，请分析一下攻击者IP 地址和入侵时间。

格式：flag{IP DD/MM/YYYY}

进入虚拟机后随便翻找，翻找了好久发现有个Rap server，这个名字看起来就像服务器，说实话博主也不认识，看起来像那就翻翻看嘛。那根据题目说的，要找攻击者IP 地址和入侵时间，如果是服务器那就肯定会有日志文件，就盯着日志文件找，然后博主就继续翻找，果然发现了日志文件。

继续翻找日志，发现有个ip执行了sql注入，那这个ip就是了,上传的webshell就是pdyfzr7k.php

flag{192.168.56.128 21/04/2025}

2.在溯源的过程中，现场的运维告诉你，服务器不知道为什么多了个浏览器，并且这段时间服务器的流量有些异常，你决定一探究竟找找攻击者做了什么，配置了什么东西？

格式：flag{一大串字母}

看看edge浏览器下了啥

ok啊，又是没见过的，但是没关系，盯着这个rclone找就行了，翻翻配置文件，翻翻日志和文件内容看看

然后在

C:\Users\Administrator\AppData\Roaming\rclone

路径下面找到了配置文件，博主没找到，看wp找到的，是的，博主是躺赢狗😋😋😋

打开看看

那本题答案就知道了

flag{oisienfpqwlmdouydrsbhuisjAUGEDW}

3.现场的运维说软件的某个跳转地址被恶意的修改了，但是却不知道啥时候被修改的，请你找到文件（C:\Program Files (x86)\RealFriend\Rap Server\WebRoot\casweb\Home\View\Index\index.html ） 最后被动手脚的时间

格式：flag{YYYY-MM-DD HH:MM:SS}

试了火眼没查出来，只查到一个访问时间，明显补兑

得使用数字取证工具Autopsy分析

flag{2025-04-21 23:39:28}

4.一顿分析后，你决定掏出你的Windows安全加固手册对服务器做一次全面的排查，果然你发现了攻击者漏出的鸡脚(四只)

格式：flag{part1+part2+part3+part4}

part1：

part2：

part3:

在服务器管理器->工具->本地用户->用户->Admin->配置文件里面

part4:

博主找半天都没找到，后面看了别人的wp去找进程，但是我的进程里面不知道为啥没有那个恶意进程，最后回到题目一看

啊😭😭😭😭😭😭😭😭

我是直接重启了，所以没有那个恶意进程，怪不得找不到，博主原地裂开啊🤡🤡

为了凑个完整的wp，下面的图直接搬官方wp的图了

四个flag拼接一下

flag{zheshiyigenixiangbudaodeflag}

5.轻轻松松的加固后，你需要写一份溯源分析报告，但是缺少了加密电脑文件的凶手(某加密程序)，这份报告客户是不会感到满意的，请你想方法让客户认可这份报告吧

格式：flag{名称}

翻找看看，是的这个也是博主翻来翻去发现的，多翻看多找找就对啦

在

C:\Users\Public

目录下有一个Encryptor123.exe，看起来就很可疑，名字也是加密，提交试试，没错了

flag{Encryptor123.exe}