拓扑图
20250526201352-2025-05-26-20-13-52

主要工具:R-Studio,取证大师,CTF-NetA,Wireshark

攻击者 IP 地址 1(内网)

查看 Server3 里的/var/log/nginx/error.log

flag{192.168.162.134}

攻击者 IP 地址 2(公网)

进入 WindowsPC,提交地址栏内找到的 ip。也可以在网络服务缓存内找到。

flag{111.170.148.147}

flag1

在 Server1 的/root/.ssh/authorized_keys内找到 flag1。此外,很多 flag 可以利用取证大师或 XWF 直接全局搜索搜出来

flag{redis_attack_zgsfsys}

flag2

在 Server1 的/tmp/hack文件内找到

flag2{Hack_Base_area}

flag3

用 X-Ways 全局搜索 flag3 找到黑客传输的 flag3.txt,取证大师搜不到

flag{666hackis888999}

flag4

XWF 全局搜索 flag2 时可以发现黑客执行过两条 echo,分别是 flag2 和 flag4 ,找到一串 base64 解码得到 flag4

flag5

预期解是在 Server2 内有一个out.pcap,解密哥斯拉流量得到 flag5。实际上直接搜ZmxhZ也可以在swap.img翻到,无需解密

base64 为ZmxhZzU6ZmxhZ3tiaW5neGllX2hhaGFoYWhfemdzZn0=,解码得到flag5:flag{bingxie_hahahah_zgsf}

flag6

Server3 数据库 password 字段

flag{123zhanghao456}

木马文件的 md5

木马文件为黑客上传的artifact.exe,应该是 cs 马,可以用微步云沙箱进一步鉴别,对其 md5 得到 flag

flag{58D14B49AE060C19CC0E7B8F6CF54B8E}

flag7

在 Windows 的计划任务内找到

flag{777flag777zgsfqscfty}

flag8.1

从最近访问找到麻将游戏目录下的readme.txt文件,内有 base64 字符串ZmxhZ3tmYXJlYm5laXRnaGJlc3Rpanl5fQ==

flag{farebneitghbestijyy}

flag8.2

在 Server2 的boot/grub/下找到黑客的hack.cfg,注释里翻到 flag

flag{aabb_hongqih9}

flag9

Win7 回收站内找到

flag{a1b2c3iamhack}

flag10

Server2 回收站

flag{admin_xiaomisu7}

加密器的文件名

勒索部分给的密码打印错了,改大小写才连上的,资本你赢了 😭

systime.exe

攻击者的远控木马名称

a.exe