背景
CNVD-2022-10207:向日葵RCE
攻击者可能利用如下请求模式来触发漏洞:
**目录遍历攻击:**尝试访问和下载敏感文件。/CFIDE/administrator/enter.cfm?locale=../../../../../../../lib/password.properties%00en
**命令注入攻击:**通过 URL 参数执行系统命令。/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell
通过本地 PC RDP到服务器并且找到黑客首次攻击成功的时间为 为多少,将黑客首次攻击成功的时间为 作为 FLAG 提交(2028-03-26 08:11:25.123);
对向日葵的日志进行分析,右键打开文件所在位置,然后找到日志文件,逐个分析。
从最早的日志文件开始分析,发现了大量的扫描记录。
继续往下翻找,找到了一条powershell.exe执行whoami指令记录,推测黑客已经攻击成功,在进行权限确认。
flag{2024-03-26 10:16:25.585}
tips
日志中多次记录了从攻击者IP(192.168.31.45)到目标IP(192.168.31.114)的HTTP连接,表明攻击者正在反复尝试连接和执行命令。
虽然日志中没有显示命令的具体返回结果,但多次的连接请求和特定路径命令的使用表明攻击者在测试和确认命令执行的有效性。尤其是执行whoami和pwd命令,这通常是攻击者在初步获取访问权限后进行的操作,以确认他们的权限级别和工作目录。
通过本地 PC RDP到服务器并且找到黑客攻击的 IP 为多少,将黑客攻击 IP 作为 FLAG 提交;
前面的日志中可以很快的找到。
flag{192.168.31.45}
通过本地 PC RDP到服务器并且找到黑客托管恶意程序 IP 为,将黑客托管恶意程序 IP 作为 FLAG 提交;
接着前面的日志往下分析,黑客调用了powershell向远程服务器下载程序。
flag{192.168.31.249}
找到黑客解密 DEC 文件,将黑客DEC 文件的 md5 作为 FLAG 提交;
在日志中找到一条将一串数字写入qq.txt的记录。
该数字是qq群,加群找到DEC文件。
windows
certutil -hashfile .\DEC.pem MD5
flag{5ad8d202f80202f6d31e077fc9b0fc6b}
linux
md5sum DEC.pem
通过本地 PC RDP到服务器并且解密黑客勒索软件,将桌面加密文件中关键信息作为 FLAG 提交;
rsa在线解密,使用前面得到的pem文件作为私钥进行解密。
分别得到KBFKKYZKCBBUZKEC和NXVJSTQUAPGTXKSX。
再进行aes解密。
这段desktop.ini配置文件内容用于更改文件夹的显示名称和图标,提供更好的用户界面体验,尤其在系统和应用程序文件夹中常见。这些自定义设置通过引用系统 DLL 文件中的资源字符串和图标来实现。
flag{EDISEC_15c2e33e-b93f-452c-9523-bbb9e2090cd1}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
