本环境来源为Solar应急响应月赛

版权所有：Solar应急响应团队、州弟学安全（出题人）

棉花糖已获得上架授权

本环境取自近期投毒事件、浏览器插件窃密事件，复现了浏览器插件窃取数据以及达到远程控制的效果。

某科技公司（目标域名设定为 solarsecurity.cn）的安全运维人员小李，近期在负责搭建内部的安全运营平台。但在最近的例行检查中，态势感知设备发出高危告警：小李的办公电脑存在频繁的异常外联，且伴随被远控的迹象。目前仅捕获到其对外访问的可疑IP地址为：47.105.126.219。

本次排查任务需要以该可疑IP为线索，上机还原完整的攻击链路。

受害主机账号/密码：solar / Solar2026
请连接上vpn后直接使用远程桌面登录即可

注意：如按照WP使用火绒剑无法抓取到远控地址，可能是系统导致插件失败，前往谷歌浏览器->扩展程序->重新加载一下插件即可。