首页 应急响应 靶场 玄机

题目:

账户&密码:Administrator xj@123456

题解:

  1. 通过本地 PC RDP到服务器并且找到黑客首次攻击成功的时间为 为多少,将黑客首次攻击成功的时间为 作为 FLAG 提交(2028-03-26 08:11:25.123);

向日葵RCE:CNVD-2022-10207,特征:cgi-bin/rpc?action=verify-haras

可以根据这个特征找最早的log时间

![](/images/第四章 Windows实战_Windows实战-向日葵_1723049298249-4f44f169-2a92-4bcf-960a-7da19e81a3a4.png)

根据这个特征以及大概的时间:2024-03-26 10:16:25往上找首条存在whoami的记录,可以找到在2024-03-26 10:16:25.585处为第一条whoami记录,即答案要求的首次攻击成功时间

![](/images/第四章 Windows实战_Windows实战-向日葵_1723049485578-0343a71c-91da-4c67-b92a-a2343486c7a3.png)

  1. 通过本地 PC RDP到服务器并且找到黑客攻击的 IP 为多少,将黑客攻击 IP 作为 FLAG 提交;

从上面日志可以看到,攻击IP为192.168.31.45

  1. 通过本地 PC RDP到服务器并且找到黑客托管恶意程序 IP 为,将黑客托管恶意程序 IP 作为 FLAG 提交;

循着日志往下找,可以看到外联其他IP下载main.exe

![](/images/第四章 Windows实战_Windows实战-向日葵_1723049623634-97d1162b-7bef-4f81-b696-e2798203a5cc.png)

  1. 找到黑客解密 DEC 文件,将黑客DEC 文件的 md5 作为 FLAG 提交;

在日志里找到qq群的群号

![](/images/第四章 Windows实战_Windows实战-向日葵_1723050452695-faa7f586-a1cf-41a3-9403-fd898f58e1dd.png)

搜索群号,是玄机的官方群

![](/images/第四章 Windows实战_Windows实战-向日葵_1723050477641-f8c6678e-b63a-4b41-8799-416dbe5ade55.png)

加群后,群文件里面有一个DES.pem,就是我们想要的

![](/images/第四章 Windows实战_Windows实战-向日葵_1723050503699-9a58df39-1c7a-4296-a7be-ef327b6996e5.png)

将该文件进行md5后,即可得到答案

  1. 通过本地 PC RDP到服务器并且解密黑客勒索软件,将桌面加密文件中关键信息作为 FLAG 提交;

桌面有两个文件

![](/images/第四章 Windows实战_Windows实战-向日葵_1723050622627-0a8e1b3d-f4bd-4448-9f03-64cce2829df2.png)

打开查看内容,发现类似RSA加密

![](/images/第四章 Windows实战_Windows实战-向日葵_1723050647791-9c46c81d-d2e9-4cfb-b14b-9e612a363d0b.png)

使用RSA私钥:pem,和该文件第一行的密文进行解密![](/images/第四章 Windows实战_Windows实战-向日葵_1723050792844-868f025e-2f40-4ce5-9ded-59b325b18923.png)

得出AES中的key,随后使用AES解密,偏移量为16个0(因为没有偏移所以填16个0)

![](/images/第四章 Windows实战_Windows实战-向日葵_1723051020143-3761966e-f4c1-46c7-b702-675e75675858.png)