由于最近本甜菜又开始犯瘾了，于是是找了个应急响应的靶机环境做一做，因为这个应急响应环境规模很大，也很有意思，足够我过瘾了
事先声明：该环境来自于微信公众号知攻善防实验室，网上有很多公开的下载地址，如果不想找可以看看我下面这一条链接，里面有网盘下载地址还有环境搭建教程。
https://blog.csdn.net/m0_74025111/article/details/138075585

资产清单
1.找到JumpServer堡垒机中flag标签的值。
访问后台http://192.168.20.123:8080,输入账号密码
admin
Network@2020
然后更多选项→标签列表里找到flag
[BrYeaVj54009rDIZzu4O]
2.提交攻击者第一次登录时间。
这里的登录是指登录上jumpserver，切换到审计台→日志审计→登录日志→时间筛选最近一年→筛选登录城市就可以找到了，因为他的登录城市是LAN，也就是通过内网登录。
3.提交攻击者源IP。
切换到控制台→资产管理→资产列表→选择JumpServer→会话记录→时间筛选最近一年
[192.168.1.4]
4.提交攻者使用的cve编号。
由于他攻击的是jumpserver，所以就搜一下JumpServer的CVE漏洞

[CVE-2024-29201]
5.提交攻击者留在Web服务器上的恶意程序的32位小写md5值。
https://cn.linux-console.net/?p=1538
切换到审计台→会话审计→命令记录→命令储存→时间筛选最近一年，搜索webserver资产和的命令记录，我们发现他对home文件进行了计算md5的值
重置web服务器(下面有相关链接)，输入命令md5sum home即可
https://cn.linux-console.net/?p=1538

[84413332e4e7138adc5d6f1f688ddd69]
6.分析恶意程序连接地址和密码。
下载root目录下的home文件到桌面并名为home.pyc，复制到kali使用pyinstxtractor进行反编译
https://github.com/extremecoders-re/pyinstxtractor
python pyinstxtractor.py home.pyc
导出palucomeyi1.pyc到放进在线反编译工具网站https://tool.lu/pyc/即可
得到地址82.157.238.111和密码1qaz@WSX3edc
7.提交存在反序列化漏洞的端口。
登录WAF→攻击事件→原始日志→攻击类型选择反序列化即可发现
[8080]
8.提交攻击者使用的后门路由地址。
审计台→会话审计→文件传输，看到上传了一个palu-python-flask.tar
然后去命令记录中搜索palu-python-flask.tar，看到用了docker，那再去搜一下执行过docker命令的记录
看到用docker启动了 palu-python-flask，注意一下/flask/log.txt，这下可以确定Webserver(192.168.20.121)的docker运行的palu-python-flask肯定存在后门路由
搜索cat 资产：Webserver ，在cat app.py这条记录中找到后门路由地址
/api/system
9.提交dnslog反弹域名。
返回到之前提取到的log.txt文件，看到dnslog反弹的域名
0vqkht.palu.cn
10.提交第一次扫描器使用时间。
从log.txt中发现进行了大量的ls操作而且时间戳都一样，因此可以确定这是工具扫描
找个在线时间戳转换一下，得到时间
2024-04-15 02:26:59
11.提交攻击者反弹shell使用的语言。
继续在log日志中找

解码后可以看出，反弹shell用的
python
12.提交攻击者反弹shell的ip。
看上图，从刚才base64解密的数据中，可以看到ip为
82.157.238.174
13.提交攻击者留下的账号。
webserve看一下/etc/passwd

然后去命令记录搜一下，发现他执行了一个passwd palu.com，由此可知攻击者留下的账号是

palu.com
14.提交攻击者的后门账户密码。
想办法把webserver /etc/shadow的文件提取出来看

然后用kail中的john爆破,得到密码为
123123
15.提交测试数据条数。
连接上MYSQL Server 1

5
16.请提交攻击者留下的信息。
在/var/log/nginx中发现了hacktext

打开发现flag

flag{hi_palu_f10g}
17.请提交运维服务器上的恶意文件md5
运维服务器是有两台，一台是JumpServer，另一台是Zabbix Server
审计台→会话审计→文件传输

审计台→会话审计→会话记录 搜索helloworld

跟着命令记录在jumpserver执行一遍命令即可

[0fca0f847a45401c878d7a5303ddc1f8]
18.提交恶意文件的恶意函数。
把恶意文件helloworld通过ssh连接下载下来，用ida打开

看到这里我还以为havedoor为恶意函数呢，结果flag却是
begingame
19.请提交攻击者恶意注册的恶意用户条数。
通过访问webserver的80端口，发现是DISCUZ的站

搜一下用户表在哪里(pre_ucenter_members)

去数据库执行一下查询语句：SELECT * FROM pre_ucenter_members;

答案为10个
20.请提交对博客系统的第一次扫描时间。
从雷池WAF可以看到，拦截次数最多的那一条就是，时间为

2024-04-16 21:03:46
21.提交攻击者下载的文件。
审计台→会话审计→文件传输，可以看到有一个名为upload.zip的文件

返回雷池WAF，从站点防护中看到了有这个文件，由此可知答案为

upload.zip
22.请提交攻击者第一次下载服务器文件的时间。
回到Jumpserver中，从文件传输开始看

发现/var/log/apache2目录下有很多类似名文件，那就看最古早的那个

把文件下载下来，打开直接搜索upload.zip，发现时间格式就是flag格式

flag:[16/Apr/2024:09:03:52]
23.请提交攻击者留下的冰蝎马的文件名称。
这里直接在审计台→会话审计→命令记录，搜索php就行，因为大多数文件上传都是php类型的

nidewen.php
24.提交冰蝎的链接密码。
仔细点就能看见$Key=“”

通过搜索可知，该密钥为连接密码32位md5值前的16位

试了很多加解密网站都解不出，后来就随便放到github搜，结果一搜就出来了…

[nidewen]
25.提交办公区存在的恶意用户名。
在办公区PC01查找 net user ,可以看到恶意用户名为
net user

hacker
26.提交恶意用户密码到期时间。
net user hacker

2024/5/28 21:40:37
27.请对办公区留存的镜像取证并指出内存疑似恶意进程。
这个名为volatility的工具CSDN有很多文章教你如何安装的，但是不知道为什么我跟着装总会报错，
后来问deepseek之后才正常装上，如果有跟着教程文章装，装不好的话，可以问问deepseek试试
python2 vol.py -f raw.raw --profile=Win7SP1x64 pslist
可以看到恶意进程为

.hack.ex
28.请指出该员工使用的公司OA平台的密码。
查看一下浏览器历史记录
python2 vol.py -f raw.raw --profile=Win7SP1x64 iehistory

直接关键字扫文件
python2 vol.py -f raw.raw --profile=Win7SP1x64 filescan | grep password

再提纯一手
python2 vol.py -f raw.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e296f20 -D ./
cat file.None.0xfffffa800ee5d530.dat
得到密码:

liuling7541
29.攻击者传入一个木马文件并做了权限维持，请问木马文件名是什么。
查看剪切版
python2 vol.py -f raw.raw --profile=Win7SP1x64 clipboard

h4ck3d!
30.请提交该计算机中记录的重要联系人的家庭住址。
那就直接找关键字，文件名有联系的（Contact）

再提取一手
python2 vol.py -f raw.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003de90340 -D ./

再查看一手
cat file.None.0xfffffa800cdbc010.dat

秋水省雁荡市碧波区千屿山庄1号
31.请提交近源靶机上的恶意文件哈希。
打开我的电脑看到最近使用的文件，猜测应该是恶意文件

certuil.exe -hashfile .\ artifact.exe MD5
cd到文件路径下使用命令计算hash值

a7fcd0b15a080167c4c2f05063802a6e
32.提交恶意程序的外联地址。
把它放到桌面，然后丢微步云沙箱，可以看到是个C2，外联地址为

101.78.63.44
33.提交攻击者使用内网扫描工具的哈希。
回到jumpserve，审计台→会话审计→文件传输，可以看到上传了一个fscan

登录到webserver，cd到该路径下计算出该工具的md5值
md5sum fscan

1facdcd05c43ba4d37274dffc90b6d4e
34.请提交攻击者在站点上留下的后门密码。
在jumpserver，审计台→会话审计→命令记录，中看到一条可疑命令

根据路径找到该文件，点开查看并在其中发现密码为

123
35.请提交攻击者在数据库留下的信息。
连上mysql1在ultrax中找到pre_ucenter_vars，可以看到攻击者留下的信息为

flag{hack_palu}
36.提交攻击者在监控服务器上留下的dcnlog地址。
访问zabbix（http://192.168.20.123:9002/zabbix/），由于没有给账号密码，那就去搜一下默认密码，用户名：Admin 密码：zabbix

从管理-脚本中发现了dcnlog

palu.dcnlog.cn
37.提交监控服务器上恶意用户的上一次登录时间。
从管理-用户，得到时间

2024-04-17 01:32:44
38.提交监控服务器上遗留的反弹shell地址和端口。
回到管理-脚本中，看到有一个名为base的

OK，我也与时俱进一下，用deepseek做base64解码

154.183.110.12:7890
39.提交恶意钓鱼文件的哈希。
回想到PC02那台近源靶机最近使用那里除了那个恶意程序还有个docx，顿时就想到可能是个word宏，那就把它拖出来丢微步看看

说是有点可疑，那就开算md5值吧

在线文件Hash计算https://tool.lu/filehash/

da75025ff7f3b6baa27f5913c1c83063
40.提交恶意文件外连IP。
这一题很厉害，我花了一个多小时的时间找了很多WP，但始终找不到确切的答案，没办法只好给个云沙箱的分析看看吧

117.18.232.200
122.228.115.35
111.170.15.115
52.109.20.46
41.提交被恶意文件钓鱼使用者的姓名。

陈琚鹭
42.提交攻击者留下的信息。
回到jumpserver，审计台→会话审计→命令记录去，发现他用了注册表，后续操作中还有flag字样的输入

点击转到，观看操作回放

但不知道出了什么问题，这回放久久不能正常播放出来，这里我标出来的是想看到的

下面是我跟着wp在PC02注册表找到的
计算机\HKEY_CLASSES_ROOT\palu

flag{2024-04-17-hi}
43.提交恶意用户数量。
这里直接数一数就好了
net user

把它们导出来
reg save hklm\sam sam.hive
reg save hklm\system system.hive

放到kali中使用samdump2
samdump2 system.hive sam.hive >hash.txt
看了一遍，发现几乎跟Administrator密码一样，那么密码为

Network@2020
45.提交加密文件的哈希。
就在最近使用文件那里

certutil -hashfile encode.txt MD5

2bf71a0d6d4e70cec7602da2b653e2ab
46.提交被攻击者加密的内容明文。
https://get-shell.com/3362.html#hidden-box-comment
使用随波逐流编码工具

2024ispassword
47.请提交符合基线标准的服务器数量。
环境中的每一台服务器都被攻击者攻破，不管是jumpserver的CVE-2024-29201，还是ZABBIX监控服务器的默认密码，还是PC02的钓鱼文件，或者是那一堆有1234!!!的登录密码，都是属于基线不规范的，所以答案为0
[cfcd208495d565ef66e7dff9f98764da]
48.提交办公区的恶意文件哈希。
回到jumpserver，审计台→会话审计→文件传输

从c:\windows\发现了palucomeyi1.exe
certutil -hashfile palucomeyi1.exe MD5

[5232a191eb2913337e0a93b0a990f2a2]
49.提交恶意回连端口。
由于这个exe是Python写的。那就用之前的pyinstxtractor.py进行反编译
https://gitcode.com/gh_mirrors/py/pyinstxtractor/blob/master/pyinstxtractor.py?utm_source=csdn_github_accelerator&isLogin=1
python pyinstxtractor.py palucomeyi1.exe
可以发现目录下多了一个名为文件名.exe_extracted的文件夹
找到那个与程序名的.exe文件同名的文件

把文件拖出来桌面，放入python在线反编译工具，即可看到回连端口为

22
50.提交恶意程序中的flag。

flag{234567uyhgn_aiduyai}
51.提交恶意文件中的search_for_text内容。
参考上图
passwod
52.提交web服务器上攻击者修改后的root密码。
因为我的webserver是重置过密码的，所以参考14题题解，把/etc/shadow的文件提取出来，然后用kail中的john爆破,即可得到root密码