微精选

这次师傅们也是把所有题目解出来了。

攻击者利用什么漏洞获取了服务器的配置文件？

看到crushftp，想到会有漏洞，去问下ai版本10的有什么漏洞

发现第三个就是，flag{CVE-2025-31161}

攻击者C2服务器IP是什么？

在日志中发现系统执行了一条powershell，找powershell记录

打开事件查看器，查看PowerShell 中输入的所有命令

把这27份内容整合在一起，发现是一个使用cs生成的powershell类型的cs马

上传微步

flag{156.238.230.57}

系统每天晚上系统都会卡卡的帮小明找到问题出在哪？

系统每天晚上系统都会卡卡的帮小明找到问题出在哪？

查看任务计划发现有个晚上的，提交flag{sqlbackingup}

恶意域名是什么？

在上题的排查任务计划找到sql backing up，找到其地址C:Program FilesMicrosoft SQL Server90Shared

打开sqlwsmprovhost.vbs的脚本，发现sqlwscript.cmd

以记事本的形式打开sqlwscript.cmd发现网站b.oracleservice.top

flag{b.oracleservice.top}

疑似是什么组织发动的攻击？

利用ai查询恶意域名b.oracleservice.top是什么组织发动的攻击？

知道是8220_Gang组织

flag{8220Gang}

开源项目

打开c代码

发现程序对字符串 ‘dnceyvjkq]kq]dcig]dnce’ 进行每个字符 ^= 2 运算（异或 2）

逆向得到blagwtlimoimoeageblag，但是是错的flag

然后去看ConsoleApplication2.vcxproj

发现一段可疑的base64

拿去大厨解密

发现是rc4，密文和密钥都有了，写个脚本解密

EXP：
from Crypto.Cipher import ARC4
import base64

key = b’FixedKey123!’
target_b64= ‘LHDh1x1zdIiVS+a5qYJrBPb0ixqHTxd+uJ/3tckUdOqG+mn113E=’

ciphertext = base64.b64decode(target_b64)
rc4 = ARC4.new(key)
plaintext = rc4.decrypt(ciphertext)

print(plaintext.decode(‘utf-8’))

出flag