2025年Solar应急响应公益月赛-3月-部分WP

【签到】和黑客去 Battle 把！

随便聊一聊就吐出密钥了，直接提交：
flag{H7Q44S85842W6TQZPERS72ED}

窃密排查 - 1

1. 连接服务器，进入 /tmp，发现程序，攻击者使用了 megacmd
   

2. 直接查找 mega 相关文件：

   find / -name "*mega*" -o -name "*MEGA*" 2>/dev/null

   

3. 查看 megacmdserver.log 日志，查找关键字：

   cat ~/.megaCmd/megacmdserver.log* 2>/dev/null | grep -i "login\|user\|flag"

   

flag: flag{25solar3abc@habenwir.com}

溯源排查 - 1

1. 下载下来是一个 raw 镜像，直接使用 WSL 挂载并修改 root 密码：

   sudo mkdir /mnt/rootfs
   sudo mount -o loop,offset=$((512 * 2048)) disk.raw /mnt/rootfs
   sudo chroot /mnt/rootfs /bin/bash
   sudo passwd root

2. 使用 qemu 运行：

   qemu-system-x86_64 -drive file=disk.raw,format=raw -m 2048 -smp 2 -net nic -net user,hostfwd=tcp::2223-:22

3. 物理机 SSH 连接：
   

4. 直接 tcpdump 抓包：

   sudo tcpdump -i eth0

   

flag: flag{156.238.230.167}

溯源排查 - 2

1. 查看进程：

   ps auxf

   

2. 查看系统占用情况：

   top

   

3. 发现 systemd-journald 伪造进程：

   • 正常 systemd 日志服务在 /usr/lib/systemd/systemd-journald
   • 但发现该文件位于 /usr/local/systemd/journaled
   • 且占用较高，判定异常。

flag: flag{/usr/local/systemd/journaled}

溯源排查 - 3

上题发现 /usr/local/systemd/journaled 可疑，进一步排查时间相近的文件：

发现 /etc/systemd/system/systemd-journaled.service 是持久化驻留后门。

flag: flag{systemd-journaled.service}

溯源排查 - 4

1. 进入 /tmp 目录：
   
2. 发现 nacos 相关文件，直接提交：

flag: flag{nacos}

溯源排查 - 6

1. 发现 nacos_data_temp、nacos_data_temp.class，推测是 Nacos 反序列化漏洞。
2. 直接查找相关工具，确认是 https://github.com/c0olw/NacosRce。

flag: flag{https://github.com/c0olw/NacosRce}