CCF 网络安全运维赛道 实操WP

不知道为啥根本没几个人打

被入侵的数据库

2026年二月初,国内某科技企业的互联网资产监控平台发出紧急警报:业务系统遭未知攻击者入侵,造成了数据库等敏感信息泄露。企业安全部门立即从Web应用服务器提取了相关中间件日志(access.log)。
请下载日志文件并进行分析,确定攻击者入侵的数据库名称,并将其作为flag提交。flag格式为flag{数据库名称}
alt textimage

flag{login_db}

系统后门用户分析

某日凌晨,某重点单位网络安全设备突然触发告警,检测到内网流量异常。安全团队紧急响应,发现一台核心服务器疑似被攻击者横向渗透,并通过加密隧道进行通信和数据传输。但幸运的是,安全设备完整捕获了攻击过程的流量(文件:流量分析.pcapng)。
你作为网络安全专家被紧急调派参与此次事件调查溯源,经过对流量包的分析,还原了攻击路径,定位了攻击者手法并固定了关键证据。请将你获得的关键证据中,攻击者添加的后门用户名称作为flag。flag格式为:flag{后门用户名称}
alt textimage-1

flag{hacker-gg}

shiro攻击!

某日凌晨,某重点单位网络安全设备突然触发告警,检测到内网流量异常。安全团队紧急响应,发现一台核心服务器疑似被攻击者渗透。但幸运的是,安全设备完整捕获了攻击过程的流量,开发人员确认,确认该系统使用了该组件的默认密钥(90F1FE6C8C64E43D9D799888C5C69A68),你作为专家被紧急调派参与此次事件调查,请分析攻击流量包,确认攻击者攻击时用的恶意类的名称。flag格式为flag{恶意类名称}。(提示:前32位十六进制位为IV)
这个是一个一个测出来的
alt textimage-2

flag{Test105692713192100}

远程命令执行

某重点单位网络安全设备突然触发告警,检测到内网流量异常。安全团队紧急响应,发现一台核心服务器疑似被攻击者获取权限。安全设备完整捕获了攻击过程的流量(文件:流量分析.pcapng)。
你作为专家被紧急调派参与此次事件调查,请分析攻击流量包,还原攻击路径,定位攻击者手法与关键证据,完成以下几个问题。

1、攻击者利用了哪个java组件的漏洞。
2、添加的后门用户名称是什么。

flag字母小写。用:分割。如:flag{shiro:user}
我找到的是flag{fastjson:hacker-007},但是不知道为什么答案就是不对
alt textimage-3

alt textimage-4

C2远控

某公司技术人员在日常运维过程中发现其一台关键业务终端疑似遭受网络攻击,系统中检测到异常活动痕迹。为防止证据灭失,技术人员已第一时间对涉案主机的内存和硬盘进行了完整镜像取证,并完成电子数据固定工作。目前,原始镜像文件已保存完毕,具备进一步分析条件。现需要对该主机的磁盘镜像与内存镜像进行深入分析,还原攻击路径,提取黑客操作痕迹,并形成完整的证据链,以协助后续溯源与处置工作。
找出外联地址和木马路径,用:分割(如:flag{127.0.0.1:C:\Windows\exec.exe})
这名字就很可疑
alt textimage-5

找路径
这前面再加个c:
alt textimage-6

但是交上去不对,猜测后缀是exe,提交就对了
flag{192.168.103.250:C:\Users\win7\Downloads\agent.x64.exe}

深夜的异常登录

2026年某日凌晨,运维人员发现一台核心服务器 CPU 使用率异常升高。检查系统日志发现大量 SSH 失败记录,且有多条来自不同 IP 的成功登录。进一步查看审计日志,发现其中某次用户登录执行了可疑命令。分析附件中的 combined.log,其中包含认证日志、防火墙日志和审计日志。攻击者成功登录后,使用了混淆手法执行恶意命令。请找出攻击者的真实 IP、下载的恶意脚本文件名以及赋予的执行权限,并按指定格式提交。
flag格式为:flag{IP_脚本名_权限}(例如 flag{192.168.5.231_test.sh_644})
先搜索accepted,然后能搜出来一些内容,一直翻,发现这里十六进制前面带echo,感觉是代码执行
alt textimage-7

转一下就可以看到代码信息,这里就有了脚本名和权限
alt textimage-8

再看ip地址,这个中间的是内网地址,不考虑,再往上找到第一个外网地址,输入就是对的
alt textimage-9

flag{203.0.113.88_update.sh_755}

Sql注入的应急排查

某企业安全团队日常运维过程中发现 WAF 告警,显示其业务系统遭受大量 SQL 注入扫描。尽管大部分扫描被拦截,但运维人员进一步分析发现数据库服务器存在异常的 DNS 查询记录。结合 Web 访问日志,怀疑攻击者可能利用某种技术绕过了检测并将数据库敏感信息外传。请分析附件中的 access.log,找出攻击者用于接收数据的域名。
【Flag格式】flag{abc.xyz.cn}
搜select就可以搜出来
alt textimage-10

flag{p9fin2.dnslog.cn}

挖矿病毒处置

运维人员发现某Linux服务器CPU持续满载,进程列表中有一个名为kdevtmpfsi的可疑进程消耗大量资源。
排查过程中,在/tmp目录下发现一个隐藏脚本文件.sd-pam.sh,内容高度混淆。请分析该脚本,找出攻击者用来下载挖矿程序时使用的域名。

flag格式:flag{恶意域名}
高度混淆在哪
就是一个简单base64加密拆分,合到一起就出来了
alt textimage-11

再把第一个base64解密
alt textimage-12

flag{evil-update-cdn.com}

深夜更新

在下载位置下个断点运行,到这print一下
好像脚本本身就有问题,误打误撞答案就出来了
alt textimage-13

(这题答案甚至和上一题一样)
flag{evil-update-cdn.com}

不安全的远程桌面

某单位 Windows 服务器近期频繁触发安全告警,疑似遭受远程桌面(RDP)暴力破解攻击。
管理员在服务器中导出了该服务器的部分安全事件日志,请你结合日志内容分析攻击行为,还原攻击过程,找出发起暴力破解的攻击源 IP及成功登录的账号。

flag格式:flag{攻击IP_用户名}(例如:flag{192.168.1.100_admin})

搜索192.,上一个出来的是登录错误
alt textimage-14

下一个就没显示了
alt textimage-15

说明答案就是这个
flag{192.168.10.3_administrator}

posted @ 2026-06-16 10:16  _ljnljn  阅读(29)  评论(1)    收藏  举报