应急响应

• 关于后门文件（非木马）md5，其实是将cmd程序复制改名为sethc.exe，也就是替换了粘滞键，其实替换Utilman.exe也可以，在win7就有一个bug用于重置密码：异常断电后进入异常恢复，在打开版权声明的时候用的是记事本😂，在记事本的文件管理窗口就可以将Utilman.exe替换为cmd.exe，再正常启动后就可以在锁屏界面就可以按五下shift调出cmd窗口，用net user重置密码，这题应该也是这个意思

• 反制攻击机，拿回收站文件，CVE-2024-23692 HFS2.3远程代码执行漏洞，可以执行任意代码自然就可以爆出来，但也可以更暴力一点：

  1. 执行reg query "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber拿远程桌面端口
  2. 执行net user Administrator "password"改掉管理员密码
  3. 远程登录看回收站flag文件
  4. 顺便把flag改掉
• 木马的分析，主要看各种日志、bash_history、自启动任务，找到丢云沙箱或ida简单看下
• 横向扫描工具，看到HFS上有个nmap盲猜对了，在服务器上名字改过，不叫nmap

Misc

• 两题0解，流量分析，我也不会

勒索病毒

• 加密器放在用户文件夹下，文件名比较明显异常
• 数据库文件名称在XAMPP的MySQL日志里找
• 漏洞CVE编号这个带点猜的成分，在网上搜wordpress当前版本的公开漏洞，没找到，再看wordpress，有Kubio插件，再去搜插件漏洞，找到CVE-2025-2294 - Kubio AI Page Builder 本地文件包含漏洞，那应该就是这跑不了了
• 网站管理员邮箱也是很离谱，居然在浏览器历史页面打开后有缓存，但是一刷新就再也回不来了（靶机是断网环境），也许这是非预期？
• 攻击者邮箱更是让人挠头，yopmail那玩意儿是不需要密码的公开邮箱，要拿管理员邮箱登上去才能找到😒（我一度觉得就是勒索信里留下的联系邮箱，但是怎么交都不对）

---

作为国内首个应急响应ctf，比赛整体是想要脱离传统ctf的模式，模拟实战环境，挺新颖的，难度控制的比较低，攻击的手法也都是比较简单经典的，比如木马有用metasploit编译的（第一眼die看到是用MASM编译的，后来想到metasploit本身就支持对导出的载荷加壳加密之类的操作），希望下一届能办更好