2025Solar应急响应公益月赛-6月

1
2

题目描述
粗心的技术从第三方网站下载了开源环境，但是这个好像是被投毒了，容器中的后门文件是哪个？请寻找后门，并找到后门文件的函数名称提交。(FLAG无需flag{}包裹，如function abc() 提交abc即可。）

首先从github上下载源码，使用文件对比工具，发现docker-entrypoint.sh很特殊，打开分析

这里发现多出来的函数，可能是后门，造成未授权，函数名字为_setup_monitoring

1	_setup_monitoring

1
2

题目描述
经过你细心的排查，粗心的技术成功去除掉后门后哪个文件中配置对安全存在隐患？请提交存在隐患的文件名称。(FLAG无需flag{}包裹，如abc.txt提交abc.txt即可。）

分析上述题目，发现只要限制9999端口。即可防止后门。在docker-compose.yml文件中发现开放9999端口，即这个文件存在安全隐患

题目描述
此服务器被植入了一个后门，请提交后门文件的进程名称。（注意大小写）

默认用户密码：qsnctf

如2题，后门的PID为1740，去进程里面找1740，win+R输入resmon（这里我重新开了个环境，进程变成了1640）

1	WinHelper.exe

题目描述
此服务器被植入了一个后门，请提交后门文件链接的IP地址及端口号。如：8.8.8.8:22

默认用户密码：qsnctf

查看网络连接，发现有唯一与外网连接的ip：10.66.66.66:8080

1	10.66.66.66:8080

题目描述
此服务器被植入了一个后门，请提交后门文件的文件地址的小写MD5。

默认用户密码：qsnctf

查询PID为1640的进程的具体位置

1	wmic process where ProcessId=1640 get Name, ExecutablePath

1
2
3

C:\Program Files (x86)\Internet Explorer\WinHelper.exe

8ae371220481af5322f17c4003a8e0ce

题目描述
此服务器被植入了一个后门，请提交后门文件的大写MD5值。

默认用户密码：qsnctf

使用certutil内置工具

1	certutil -hashfile "WinHelper.exe" MD5

82C94C28E2AC71179C57D42CE388D1CC