文章总结： 文档总结了2026年3月Solar应急响应公益月赛结果，介绍了天狩网络安全竞赛平台功能。赛事聚焦溯源分析、流量分析和逆向工程三大方向，通过浏览器扩展劫持案例考察选手取证能力。技术解析部分详细说明了WireGuard流量解密方法，包括内存取证获取传输密钥、ChaCha20-Poly1305解密流程及IP/TCP重组技术。 综合评分： 85 文章分类： 应急响应,漏洞分析,逆向分析,WEB安全,安全工具

通过上述代码审计，可以明确该组件在静默获取受害者公网 IP 时，调用了外部接口 https://api.ipify.org?format=json。

预期答案： flag{https://api.ipify.org?format=json}

任务六：致命诱饵

通过深入分析发现，该恶意组件不仅窃密，还会向受害者下发欺骗性的伪造弹窗。请找出受害者点击弹窗后，被重定向去下载后续恶意负载（远控木马）的钓鱼网站完整URL。

分析与排查：

在 Windows 操作系统中，所谓的“弹窗”常常是以系统右下角的通知形式呈现。

实战经验拓展：需要注意的是，Windows系统的通知栏存在“已读/交互即焚”机制。当受害者点击该伪造的安全警告弹窗后，该通知消息会被系统自动从侧边栏清除，不会留下直观的视觉痕迹。这大大增加了事后取证的难度。

插件利用系统原生 API 触发的伪装通知弹窗，极具欺骗性

由于弹窗点击后发生了下载行为，我们再次回到前面导出的 chrome_default_download.csv 记录进行排查。

在下载历史记录中，发现时间线吻合的远控木马下载事件及源 URL

发现在 2026-01-29 06:48:17，主机下载了一个名为“运维助手.exe”的程序。

在应急响应的实战中，任何未经确认的可执行程序下载事件都应被列入高度可疑的范畴。对应的下载 URL 恰好指向了我们已知的 C2 服务器的特定目录。

结合威胁情报平台及开放端口探测，可以进一步佐证该 URL 为托管恶意负载的钓鱼页面。

预期答案： flag{http://47.105.126.219:8080/fake/index.html}

任务七：终极远控（提取C2基础设施）

受害者在上述钓鱼页面中被诱导下载并执行了进一步的远控木马。请对该木马文件进行分析（或结合流量/日志），提取出攻击者最终用于深度控制受害主机的C2地址和端口。

分析与排查：

根据前一步提取的浏览器下载日志，确定该远控木马程序落地在 C:\Users\Solar\Downloads\ 目录下。

在文件系统中定位被执行的远控木马实体文件

获取到样本后，最快速的分析方法是将其上传至云沙箱（如微步云沙箱、奇安信沙箱等）进行动态行为分析，提取其网络外联特征。

利用云沙箱进行自动化动态分析，尝试提取网络通信特征

实战经验拓展：

1. 沙箱逃逸应对：在实战场景中，有时将样本上传至沙箱后，由于沙箱环境的局限性（如缺少特定的运行库、模拟环境被识别）可能会出现不触发外联的情况。
2. 手工动态调试：此时，建议将样本置于隔离的虚拟机中，开启火绒剑、Sysmon 等系统行为监控工具，手动触发木马以观察其真实行为轨迹。
3. 逆向分析：若样本具备复杂的反沙箱或反虚拟机机制，则需要安全人员使用 IDA Pro、x64dbg 等工具进行脱壳、逆向工程和底层调试，强行提取出硬编码或动态解密的 C2 地址。

在虚拟机中使用火绒剑捕获木马执行后的真实 C2 外联地址

通过监控分析，清晰地捕获到 运维助手 (1).exe 进程建立了一条 TCP 连接，其远程外联的目的 IP 和端口为 143.55.28.36:1234。这就是攻击者用于最终深度控制该主机的 C2 基础设施。

预期答案： flag{143.55.28.36:1234}

5.题目投票

请选择您心中最具实战价值且最具创新突破的题目（可多选）

6.抽奖公示

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：solar应急响应团队 solarsec solarsec《2026-3月Solar应急响应公益月赛排名及官方题解》