2025陇剑杯初赛-siem

发表于2025-09-26|更新于2025-10-06

|浏览量:

siem

flag1:攻击者的ip是什么

192.168.41.143

首先释放虚拟机后，登录虚拟机，可以发现是一个wazuh的服务器，遂查看网络端口详情

虽然题目中给了http://ip:80,但实际上确是https://ip:443

进入平台后，发现有三台机器

名为app的ubuntu机器运行着服务，查看其日志

进入Threat Hunting看看

可以看到app有大量登录失败的记录

查看一下详细的日志

查看事件的详情，可以发现攻击者的ip

flag2:在攻击时间段一共有多少个终端会话登录成功

13

直接在之前的网站中看到有13次登录成功

flag3:攻击者遗留的后门系统用户是什么

hacker

在日志中看到增加了用户的操作

flag4:提交攻击者试图用命令行请求网页的完整url地址

https://192.168.41.146/.back.php?pass=id

搜索curl

找到两个日志，其中一个日志看到143对136进行了类似sql注入的攻击

另一个是本机127.0.1进行的，排除

flag5:提交wazuh记录攻击者针对域进行哈希传递攻击时被记录的事件ID

1734511987.34749419

搜索Possible Pass the hash attack，查看最新的

flag6:提交攻击者对域攻击所使用的工具

mimikatz

查到有mimikatz创建

flag7:提交攻击者删除DC桌面上的文件名

c:\users\administrator\desktop\ossec.conf

直接看dc的删除文件日志

文章作者: Sep

文章链接: https://sep252.github.io/2025/09/26/2025%E9%99%87%E5%89%91%E6%9D%AF%E5%88%9D%E8%B5%9B-siem/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Sep's Blog！

相关推荐

2025R3CTF-复现

R3CTF2025-Forensics-复现The R3 Pig Problem 数据传输间隔隐写（更像misc 提取tcp流，发现没两个包之间的时间查有规律，随提取，大于0.1s的记为1，小于0.1，在0.02附近的记为0 另存为，然后写代码转化 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748import reimport sysdef main(): # 从命令行参数获取文件名 if len(sys.argv) < 2: print("请将txt文件拖到脚本上执行") return filename = sys.argv[1] result_bits = [] try: with open(filename, 'r') as file: for line in file: ...

2025-L3AKCTF-复现

L3AKCTF(复现)Ghost In The Dark123456789A removable drive was recovered from a compromised system. Files appear encrypted, and a strange ransom note is all that remains.The payload? Gone.The key? Vanished.But traces linger in the shadows. Recover what was lost.Password to open zip - L3akCTF 给了一个GhostInTheDark.001 的文件，rstudio打开发现有这些文件貌似和flag有关，其中被删的文件中，loader.ps1包含一段代码 12345678910111213141516171819$key = [System.Text.Encoding]::UTF8.GetBytes("0123456789abcdef")$iv =...

2025SecurinetsCTF-Forensics-wp

Silent Visitor牢死了www 12345678A user reported suspicious activity on their Windows workstation. Can you investigate the incident and uncover what really happened?一位用户报告了其 Windows 工作站上的可疑活动。您能调查此事件并查明真相吗？author: Enigma522https://drive.google.com/file/d/1-usPB2Jk1J59SzW5T_2y46sG4fb9EeBk/view?usp=sharingnc foren-1f49f8dc.p1.securinets.tn 1337 只给了一个test.ad1文件 1.What is the SHA256 hash of the disk image...

2025陇剑杯-决赛-复现（持续更新）

第三届“陇剑杯”网络安全大赛-RHG人工智能赛第1轮webshell应急响应...

SCU校赛—misc

从群里得知了，scu校赛的事情，可惜已经结束了，从aura那里拿到了misc的题，做做看。 [BOSS😱]Broken CentOS1000 pts作者 @Aura 难度 BOSS 本题改编自真实事件。这是一个出现异常的CentOS，在登录系统时，无论用户名和密码是否正确，你都无法进入系统，请你通过技术手段，找到导致此问题的核心原因。答对全部问题可获得本题flag。本题需要 nc 连接，如果出现乱码，请输入 chcp 65001 初始用户名和密码： 123root123456# 保证用户名和密码绝对正确！ wp：这题有点意思，尝试登录显示login incorrect 进入单用户模式，cat /var/log/secure查看登录记录，可以看到我们没登录之前，是可以正常登录的，登录后显示，pam_tally2(login:auth): bad number supplied: deny=和pam_succeed_if(login:auth): requirement "uid >= 1000" not met by user...