题目一

提示：请提交当前系统发行版信息，得到的结果请包含qsnctf{}提交

/etc/os-release，系统文件，里面保存发行版的基础信息
本质：文件
位置：/etc/os-release
优点：几乎所有现代 Linux 都有
用途：脚本、程序读取系统发行版信息（PRETTY_NAME=”Ubuntu 20.04.6 LTS”）

lsb_release -a，命令用于输出符合LSB标准的发行版信息
本质：命令
依赖：需要安装 lsb-release 包
优点：输出格式清晰
缺点：有些精简系统/容器里没有这个命令

题目二

提示：当前服务器被创建了一个新的用户，请提交新用户的用户名，得到的结果请包含qsnctf{}提交

/etc/passwd：记录用户的用户名：密码：UID（用户 ID）：GID（用户组 ID）：描述信息：主目录：默认 shell

/etc/shadow：记录用户的用户名：密码：最后一次修改时间：最小时间间隔：最大时间间隔：警告时间：账号闲置时间：失效时间：标志

正常用 useradd/adduser 新增本地用户时，用户信息通常会追加到 /etc/passwd 和 /etc/shadow 文件的最后一行附近，所以最后一行就是新增本地用户。

题目三

提示：在排查被勒索加密的机器的过程中，发现了一个可疑的dll，试着来分析看看吧！

落地的可疑文件

powershell十六进制查看一下flag.enc，可以确定当前文件被加密了，需要具体的加密逻辑才能进行对应的解密。

那么回到可疑的DLL文件进行分析

正常的DLL开头应该能看到MZ，说明这个dll确实是Windows PE文件

应急响应|黑灰产之浏览器插件窃取数据应急响应

任务一

你是一名网络安全工程师。早上10点，客户说自己被勒索了，十万火急
你需要：6 小时内查明攻击路径，对系统安全加固，提交最终的报告。
刻不容缓，请开始你的溯源任务吧！
来到现场后，通过上机初步检查，细心的你发现了一些线索，请分析一下攻击者IP 地址和入侵时间。
flag{IP DD/MM/YYYY}

进入环境中

首页上有一封勒索信息，没什么重要信息不用管

第一步是初步检查得到攻击者的IP地址和入侵事件，桌面还看到瑞友天翼管理平台，作用是把企业内部的业务软件集中装在服务器上，用户不用在自己电脑上安装客户端，只需要通过 Web 或客户端远程访问这些应用。其存在对应的登录日志等，对其进行审查。

C:\Program Files (x86)\RealFriend\Rap Server\Logs

筛查后发现异常IP以及恶意请求内容为sql注入写入了一个PHP Webshell：
192.168.56.128 – – [21/Apr/2025:18:08:51 +0800] “GET /AgentBoard.XGI?user=-1%27+union+select+1%2C%27%3c%3fphp+eval%28%24_POST%5b%22cmd%22%5d%29%3b%3f%3e%27+into+outfile+%22C%3A%5C%5CProgram%5C+Files%5C+%5C%28×86%5C%29%5C%5CRealFriend%5C%5CRap%5C+Server%5C%5CWebRoot%5C%5Cpdyfzr7k.php%22+–+-&cmd=UserLogin HTTP/1.1” 200 416
192.168.56.128 – – [21/Apr/2025:18:08:51 +0800] “GET /pdyfzr7k.php HTTP/1.1” 200 2

判定为攻击者，IP为192.168.56.128，入侵时间为21/Apr/2025（其实早在02/Apr/2025该IP就存在访问日志但是未进行入侵所以不是入侵时间），flag{192.168.56.128 21/04/2025 }进行下一个任务

任务二

在溯源的过程中，现场的运维告诉你，服务器不知道为什么多了个浏览器，并且这段时间服务器的流量有些异常，你决定一探究竟找找攻击者做了什么，配置了什么东西？
格式：flag{一大串字母}

前面webshell的写入路径”C:\\Program Files\\(x86)\\RealFriend\\Rap Server\\WebRoot\\pdyfzr7k.php”，在目录下未发现落地webshell推测已经被删除了，但是WebRoot下还有可疑文件software.txt，显示了软件按安装路径的清单，但是里面的所有路径均已消失，没什么有用的信息。

在管理员的下载目录下有一个文件，Rclone 是一个命令行云存储同步工具，正常用途是把本地文件同步/拷贝到云盘、对象存储或远程服务器，这个 rclone 很可能就是攻击者用来传输数据的工具。

这里就有一个推测，攻击者通过webshell下载了浏览器，浏览器下载了rclone，解压rclone配置了远程云存储后使用rclone将数据外传造成了服务器流量的异常。找到rclone的配置文件即可分析出攻击者进行了哪些配置，rclone的配置文件时rclone.conf

全局搜索一下Get-ChildItem C:\ -Recurse -Force -ErrorAction SilentlyContinue -Filter “rclone.conf”，找到位置C:\Users\Administrator\AppData\Roaming\rclone\rclone.conf获得flag{oisienfpqwlmdouydrsbhuisjAUGEDW}

任务三

现场的运维说软件的某个跳转地址被恶意的修改了，但是却不知道啥时候被修改的，请你找到文件（C:\Program Files (x86)\RealFriend\Rap Server\WebRoot\casweb\Home\View\Index\index.html ） 最后被动手脚的时间
格式：flag{YYYY-MM-DD HH:MM:SS}

打开文件发现跳转到攻击者勒索页面

通过Windows命令Get-Item “C:\Program Files (x86)\RealFriend\Rap Server\WebRoot\casweb\Home\View\Index\index.html” |
Select-Object FullName, CreationTime, LastWriteTime, LastAccessTime进行查看，出现的时间明显不对，这是因为攻击者可能对文件时间进行了修改

这里需要用到Autopsy进行数字单机取证，看底层的变更时间（攻击者可修改表层时间欺骗Windows但是无法修改底层时间）,flag{2025-04-21 23:39:28}

任务4

一顿分析后，你决定掏出你的Windows安全加固手册对服务器做一次全面的排查，果然你发现了攻击者漏出的鸡脚(四只)

系统性排查主要是针对攻击者的落地的文件、进程、持久化位置：异常进程、异常落地文件、用户、用户组、任务计划程序、自启动服务、注册表启动项、

任务计划程序发现可疑的正在运行的计划任务，创建时间与攻击者攻击事件相对应

查看对应的启动程序得到flag1{zheshi}

对服务排查，发现第二个flag2{yige}

win + r ：lusrmgr.msc：打开本地用户和组窗口，对每个用户进行检查发现flag{ni}

最后对进程进行筛查

看了一圈也没看到异常进程，结果是……..

从别的师傅那里看了WP知道进程位置发现flag4{xiangbudaodeflag}，最后完成flag拼接flag{zheshiyigenixiangbudaodeflag}

任务五

轻轻松松的加固后，你需要写一份溯源分析报告，但是缺少了加密电脑文件的凶手(某加密程序)，这份报告客户是不会感到满意的，请你想方法让客户认可这份报告吧
flag格式为：flag{名称}

稍微翻一下就找到了对应的加密文件Encryptor123.exe，flag{Encryptor123.exe}，结束。

应急大师

这是一台被黑客入侵的服务器，安全团队有进行一些基础溯源。目前服务器已经断网处理，请你继续协助安全团队进行溯源分析，将整个证据链补充完整。服务器密码是qsnctf。

任务一

请提交隐藏用户的名称？

注册表查看HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Users/Names（查询不到需要进行权限提升），solar$明显就是隐藏账户，直接提交即可。

同样的去lusrmgr.msc查看也能够得到结果，比较水的是我登陆的时候就有这个隐藏账户的选项

任务二

请提交黑客的IP地址？

桌面上也是看到了phpstudy

那么直接去找phpstudy的日志即可，这里看到是nginx的log

排查日志发现一个可疑IP 192.168.186.139

利用powershell进行筛查
Select-String -Path “C:\phpstudy_pro\logs\nginx.log.txt” -Pattern “192.168.186.139”，该IP持续性对6880a3e3559ec.php文件进行了访问

找到该文件，确认该文件是webshell，到此证据确凿192.168.186.139为攻击者（该说不说这个题出的太水了日志里也就只有这一个IP）

任务三

请提交黑客的一句话木马密码？

？不明所以的题目，你不看到webshell怎么判定攻击者？前面有webshell密码直接输入就行

任务四

请提交黑客创建隐藏用户的TargetSid（目标账户安全ID）？

TargetSid：是Windows安全日志中的一个字段是一个安全标识符，那么这个很明显是让排查安全日志找到隐藏用户创建的安全日志

事件ID 4720 创建用户账户，进行筛选即可得到对应的安全日志和TargetSid：S-1-5-21-3845547894-970975367-1760185533-1000

任务五

请提交黑客创建隐藏账户的时间（格式为 年/月/日 时:分:秒）？

。出的什么垃圾题目，找到日志不就找到事件了吗？

任务六

黑客将这个隐藏用户先后加入了哪几个用户组？提交格式为 第一个用户组-第二个用户组，如student-teacher

事件ID 4732 用户被加入本地组，例如 Administrators，筛选出对应日志，可以看到先加入的Users组后加入的Administrators组，Users-Administrators

任务七

黑客通过远程桌面成功登陆系统管理员账号的网络地址及端口号？提交格式为 IP:PORT 如 127.0.0.1:41110

事件ID 4624登录成功 ；loginType 10为远程RDP登录，对日志进行筛选即可，192.168.186.139:49197

公交车系统攻击事件排查

思而听公交系统被黑客攻击，黑客通过web进行了攻击并获取了数据，然后获取了其中一位驾校师傅在FTP服务中的私密文件，其后黑客找到了任意文件上传漏洞进行了GETshell，控制了主机权限并植入了挖矿网页挖矿病毒，接下来你需要逐步排查。
注意：
流量中的21端口对应2121、80端口对应8090。
root的SSH密码为bussec123，第二个地址是SSH地址。
请勿在此提交FLAG，请前往具体任务提交，如【任务1】公交车系统攻击事件排查 提交。

任务一

分析环境内的中间件日志，找到第一个漏洞(黑客获取数据的漏洞)，然后通过分析日志、流量，通过脚本解出黑客获取的用户密码数据，提交获取的前两个用户名，提交格式：flag{zhangsan-wangli}