文章总结： 本文记录了第二届Solar杯应急响应挑战赛的解题过程，涵盖流量分析与仿真环境攻防。作者通过审计日志定位Webshell入口，利用WindowsDefender追踪攻击行为，清理哥斯拉后门及隐藏用户；在Linux端分析Nacos漏洞利用痕迹，清除恶意用户并修复服务。内容详细展示了完整的应急响应与取证排查流程。 综合评分： 85 文章分类： 应急响应,CTF,WEB安全,内网渗透

---

【应急响应】第二届Solar杯应急响应挑战赛

原创

F1rstb100d

智佳网络安全

2026年1月1日 12:14 北京

连续两天的比赛因为时间原因没有全程参赛，就分享一下我在中间时间抽空做的一些题目吧。

Traffic Analysis

问题5：flag的值

flag{80892e26-dbcc-49be-9f40-e14f772741d0}

看到WEBUI_SK

搜索发现https://volcengine.csdn.net/694d01445b9f5f31781ac51b.html

问题1：CVE编号是多少

CVE-2025-55449

问题6：JWT的key是多少

Advanced_System_for_Text

问题4：运行路径在哪

PWD=/AstrBot

问题3：恶意文件名是什么

helloworld.zip

问题2：伪造用户名

admin

flag{md5(问题1_问题2_问题3_问题4_问题5_问题6)}

flag{CVE-2025-55449_admin_helloworld.zip_/AstrBot_flag{80892e26-dbcc-49be-9f40-e14f772741d0}_Advanced_System_for_Text}

flag{f585fb56a8f67ceffd494f5ae96a6dff}

仿真DMZ环境应急响应

任务1

根据开放服务排查审计日志，提交攻击者利用漏洞传入webshell的url，提交示例：flag{/flag/abc/kk=abc}

D盾扫描出一句话木马

找网站的日志

在访问木马前有一个上传的POST

flag{/plugins/Ueditor/net/controller.ashx action=catchimage}

任务2

提交Windows defender病毒和威胁防护中，拦截攻击者最早执行的命令，提交示例：flag{dir}

随手一试flag{whoami}

任务3

提交Windows defender病毒和威胁防护中，杀软隔离的第一个webshell文件，提交文件名，提交示例：flag{shell.php}

flag{6390217215502412559088650.aspx}

任务4

审计web日志，攻击者在多次上传webshell后，最终远控使用的webshell文件是哪个，提交文件名，提交示例：flag{shell.php}

一眼看到文件最多的后门请求

flag{6390217325293187938071651.aspx}

任务5

一个哥斯拉的后门，试了一下key这个字符串刚好就是key的md5前16个字符

flag{key&solar}

任务6

审计系统日志，提交攻击者远控后关闭Windows defender的时间，可使用桌面\工具\FullEventLogView辅助审计，提交示例：flag{2025/1/1 12:01:01}

事件id 5001

flag{2025/12/24 12:24:07}

任务7

审计系统日志，提交攻击者创建的用户名及远程登录IP及时间，提交示例：flag{user&1.1.1.1&2025/1/1 12:01:01}

net user发现存在隐藏用户$system

直接过滤登录成功事件id 4624

flag{$system&192.168.70.3&2025/12/24 13:32:13}

任务8

攻击者为了进行内网渗透，上传了内网扫描及其它恶意文件，提交文件的所在路径，提交示例：flag{C:\Windows\System32}

翻了一下找到fscan.exe

flag{C:\Users\Administrator\Downloads}

任务9

清除攻击者用于权限维持添加的用户，清除完毕后前往C:\Users\Administrator\Desktop\flag\1.txt读取flag

清除隐藏用户$system

flag{d47cab4549e08c5227d2afd5d4e1a051}

任务10

清除攻击者上传的所有webshell，清除完毕后前往C:\Users\Administrator\Desktop\flag\2.txt读取flag

删除d盾扫描出来的20251224目录下的三个shell即可

flag{31527b4001257a29c68c357a15376e59}

任务11

清除攻击者上传的所有恶意文件，清除完毕后前往C:\Users\Administrator\Desktop\flag\3.txt读取flag

把Administrator下载目录下的frp和fscan删除即可

flag{42a996202210e8572eebae2968f393db}

任务12

开始排查Ubuntu(DMZ2)环境，通过前面排查的内网扫描结果以及攻击者上传的工具，攻击者对于内网机器Ubuntu(DMZ2)进行了漏洞利用，根据相关线索本地访问相关端口，攻击者为了权限维持，后期进行获取更多信息，提交攻击者在web端新增的账号，提交示例：flag{user}

DMZ1这个window中fscan发现内网DMZ2存在nacos服务

直接访问8848端口的/nacos页面

使用默认口令nacos:nacos登录

发现存在一个新账户system

flag{system}

任务13

攻击者在web端获取到了敏感信息后获取到了终端权限，写入了隐藏用户，提交其用户名，提交示例：flag{user}

查看/etc/shadow发现多了一个奇怪的用户

flag{sys-update}

任务16&14

当前web端存在漏洞，先停止此web服务进程后，前往/var/flag/3文件中读取flag并提交

停止nacos服务即可

找到nacos服务目录/usr/local/nacos，停止服务

可能服务停了check脚本找不到nacos web中的那个system用户了吧，14题（清除攻击者在web端新增的用户名后，前往/var/flag/1文件中读取flag并提交）也顺带一起做了

14：flag{ad31ea22e324ee6effd454decf7477c9}

16：flag{163e32607debcc6091e993929afe8064}

任务17

攻击者通过web漏洞拿到了root账号密码，请修改密码后，前往/var/flag/4文件中读取flag并提交

直接修改root的密码即可

flag{2d1848c8560becac27d30a5d4daf6da3}

任务15

清除攻击者在服务器新增的用户名所有信息，前往/var/flag/2文件中读取flag并提交

清除sys-update用户以及sys-update用户家目录

flag{85fdb55f08925b3ae7149e869124f2c4}

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：智佳网络安全 F1rstb100d《【应急响应】第二届Solar杯应急响应挑战赛》