ak数据分析部分
1.HW
hard_web_1
题目内容:服务器开放了哪些端口,请按照端口大小顺序提交答案,并以英文逗号隔开(如服务器开放了80 81 82 83端口,则答案为80,81,82,83)
过滤器:ip.dst == 192.168.162.188 and tcp.connection.synack
键盘按住向下,一个一个看,能看到 80, 888, 8888
80,888,8888
hard_web_2
先执行第一次脚本,在返回包24208得到了key为xc
748007e861908c03
指定key进行解密就好了
$ python .\GodzillaBuster.py -k 748007e861908c03 -f .\hard_web.pcap -v 4
flag{9236b29d-5488-41e6-a04b-53b0d8276542}
hard_web_3
密码一般是作为请求包的请求头,密钥md5后前16个作为key,也就是 xc=748007e861908c03
,使用cmd5解密得到 14mk3y
14mk3y
2.SS
sevrer save_1
题目内容:黑客是使用什么漏洞来拿下root权限的。格式为:CVE-2020-114514
本题附件见于平台公告的SS.zip,解压密码为c77ad47ba4c85fae66f08ec12e0085dd
CVE-2022-22965
sevrer save_2
题目内容:黑客反弹shell的ip和端口是什么,格式为:10.0.0.1:4444
192.168.43.128:2333
sevrer save_3
题目内容:黑客的病毒名称是什么? 格式为:filename
main
sevrer save_4
题目内容:黑客的病毒运行后创建了什么用户?请将回答用户名与密码:username:password
ll:123456
sevrer save_5
题目内容:服务器在被入侵时外网ip是多少? 格式为:10.10.0.1
172.105.202.239
sevrer save_6
题目内容:病毒运行后释放了什么文件?格式:文件1,文件2
lolMiner,mine_doge.sh
sevrer save_7
题目内容:矿池地址是什么? 格式:domain:1234
doge.millpools.cc:5567
sevrer save_8
题目内容:黑客的钱包地址是多少?格式:xx:xxxxxxxx
DOGE:DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9
3.WS
就看TCP流就好了,全部答案都在
Wireshark1_1
题目内容:被入侵主机的IP是?
192.168.246.28
Wireshark1_2
题目内容:被入侵主机的口令是?
youcannevergetthis
Wireshark1_3
题目内容:用户目录下第二个文件夹的名称是?
Downloads
Wireshark1_4
题目内容:/etc/passwd中倒数第二个用户的用户名是?
mysql
4.IR
直接用 RStudio
去扫描,不然文件很难弄出来
IncidentResponse_1
题目内容:你是公司的一名安全运营工程师,今日接到外部监管部门通报,你公司网络出口存在请求挖矿域名的行为。需要立即整改。经过与网络组配合,你们定位到了请求挖矿域名的内网IP是10.221.36.21。查询CMDB后得知该IP运行了公司的工时系统。(虚拟机账号密码为:root/IncidentResponsePasswd)
挖矿程序所在路径是?(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案)
本题附件见于平台公告的IR.zip,解压密码为f0b1ba11478343f404666c355919de3f
发现是用的redis挖矿,路径在 /etc/redis/redis-server
/etc/redis/redis.conf
看到了矿池域名,所以肯定了就是这个
6f72038a870f05cbf923633066e48881
IncidentResponse_2
题目内容:挖矿程序连接的矿池域名是?(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案)
查看 /etc/redis/redis.conf
,在71行得到了矿池域名和端口
donate.v2.xmrig.com
3fca20bb92d0ed67714e68704a0a4503
IncidentResponse_3
题目内容:
攻击者入侵服务器的利用的方法是?(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案)
看了一下history,看到使用nohup去保存运行的日志了,我们用RS导出一下
猜测是shiro序列化漏洞
shirodeserialization
3ee726cb32f87a15d22fe55fa04c4dcd
IncidentResponse_4
题目内容:攻击者的IP是?(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案)
history看到一个特殊的ip
81.70.166.3
c76b4b1a5e8c9e7751af4684c6a8b2c9
IncidentResponse_5
题目内容:攻击者发起攻击时使用的User-Agent是?(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案)
使用 RStudio 扫描找到 /var/log/nginx/access.log
,导出到本地,然后分析所有的UA,写个代码分析一下:
import re
import hashlib
lis = []
with open("access.log", "r") as f:
for line in f.read().splitlines():
if line.startswith("81.70.166.3") and "login" in line:
lis.append(re.findall('81\.70\.166\.3.*?\" \"(.*?)\"', line)[0])
lis = list(set(lis))
for ua in lis:
print(hashlib.md5(str(ua).replace(" ", "").lower().encode()).hexdigest())
4483810fe28ece13342dec04ed2a7969
afdf891d340e6663a417b47fa1f1dfd8
8b9dc10b76445f023232b42728c1e5fe
44748ef7eb6e23c3aea256cf497157e6
6ba8458f11f4044cce7a621c085bb3c6
6ba8458f11f4044cce7a621c085bb3c6
IncidentResponse_6
题目内容:攻击者使用了两种权限维持手段,相应的配置文件路径是?(md5加密后以a开头)(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案)
/root/.ssh/authorized_keys
a1fa1b5aeb1f97340032971c342c4258
IncidentResponse_7
题目内容:攻击者使用了两种权限维持手段,相应的配置文件路径是?(md5加密后以b开头)(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案)
存放的 redis.service
这就实现了一个 systemd 服务的自动启动,使用这个手段维持权限,配置文件目录如下:
/lib/systemd/system/redis.service
b2c5af8ce08753894540331e5a947d35
5.SSW
SmallSword_1
题目内容:连接蚁剑的正确密码是______________?(答案示例:123asd)
密钥就是请求头
6ea280898e404bfabd0ebb702327b19f
SmallSword_2
题目内容:攻击者留存的值是______________?(答案示例:d1c3f0d3-68bb-4d85-a337-fb97cf99ee2e)
24475请求包 先urldecode 再base64解密就得到了,侥幸拿了个二血
ad6269b7-3ce2-4ae8-b97f-f259515e7a91
SmallSword_3
题目内容:攻击者下载到的flag是______________?(答案示例:flag3{uuid})
这个php文件5MB
一眼EXE头,删掉 2D 3E 7C
,后缀名改为 exe
,运行得到一张图
010editor
打开后发现是png,改一下后缀名发现还是打不开,提示
爆破一下就好了
flag3{8f0dffac-5801-44a9-bd49-e66192ce4f57}
6.EW
ez_web_1
题目内容:服务器自带的后门文件名是什么?(含文件后缀)
自带的是 ViewMore.php
,这个php正在上传 d00r.php
ViewMore.php
ez_web_2
题目内容:服务器的内网IP是多少?
肯定不是本机ip,所以是下面那个
192.168.101.132
ez_web_3
题目内容:攻击者往服务器中写入的key是什么?
里面有key.txt
7e03864b0db7e6f9
解压打开 key.txt
得到
7d9ddff2-2d67-4eba-9e48-b91c26c42337
7.BF
baby_forensics_1
题目内容:磁盘中的key是多少?
$ vol.py -f baby_forensics.raw --profile=Win7SP1x64 filescan | grep -iE "flag|.zip$|.rar$|.7z$|.txt$|.png$|.jpg$|.gif$|.pdf$|.doc$|.docx$|.pcap$|.pcapng$|.raw$|.kdbx$|Desktop\\\{1}.+"
$ vol.py -f baby_forensics.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003df94070 -D ./
E96<6J:Da6g_b_f_gd75a3d4ch4heg4bab66ad5d
rot47一下就好了
thekeyis2e80307085fd2b5c49c968c323ee25d5
2e80307085fd2b5c49c968c323ee25d5
baby_forensics_2
题目内容:电脑中正在运行的计算器的运行结果是多少?
$ vol.py -f baby_forensics.raw --profile=Win7SP1x64 windows > windows
7598632541
baby_forensics_3
题目内容:该内存文件中存在的flag值是多少?
check() {
pattern="flag|==|10210897103|666c6167|464C4147|Zmxh|Wm14aFoz|f|58s4vb|2uk2h3|key|pass|pwd|password|hint|U2FsdGVkX1"
grep -irlE "$pattern" * | while read -r file; do
echo -e "File: $file"
strings "$file" | grep -iE "$pattern"
echo -e ""
done
}
$ check > check.txt
很多 PBE
的加密,我们一个一个试,差不多最后一个我成功解密了…
U2FsdGVkX195MCsw0ANs6/Vkjibq89YlmnDdY/dCNKRkixvAP6+B5ImXr2VIqBSp94qfIcjQhDxPgr9G4u++pA==
密码在这个地方
qwerasdf
flag{ad9bca48-c7b0-4bd6-b6fb-aef90090bb98}
8.TP
tcpdump_1
题目内容:攻击者通过暴力破解进入了某Wiki 文档,请给出登录的用户名与密码,以:拼接,比如admin:admin
过滤器:http.request and http.request.uri contains "login" or http.response.code != 404 and frame.len != 237
返回200,明显和其他的不太一样
username=TMjpxFGQwD&password=123457
TMjpxFGQwD:123457
tcpdump_2
题目内容:攻击者发现软件存在越权漏洞,请给出攻击者越权使用的cookie的内容的md5值。(32位小写)
常见Cookie就2个了,分别如下,试了一下就对了
accessToken=f412d3a0378d42439ee016b06ef3330c; zyplayertoken=f412d3a0378d42439ee016b06ef3330cQzw=; userid=1
accessToken=f412d3a0378d42439ee016b06ef3330c; zyplayertoken=f412d3a0378d42439ee016b06ef3330cQzw=; userid=2
$ echo -n 'accessToken=f412d3a0378d42439ee016b06ef3330c; zyplayertoken=f412d3a0378d42439ee016b06ef3330cQzw=; userid=1'|md5sum|cut -d ' ' -f1
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CdpJhXMD-1693233178156)(images/image-20230826192329691.png)]
383c74db4e32513daaa1eeb1726d7255
tcpdump_3
题目内容:攻击使用jdbc漏洞读取了应用配置文件,给出配置中的数据库账号密码,以:拼接,比如root:123456
zyplayer:1234567
tcpdump_4
题目内容:攻击者又使用了CVE漏洞攻击应用,执行系统命令,请给出此CVE编号以及远程EXP的文件名,使用:拼接,比如CVE-2020-19817:exp.so
根据jdbc的连接库发现是 postgresql
,查到最近的CVE对应的是 CVE-2022-21724
基本都是这个 xml
去攻击的,所以不用想了,就是这个
CVE-2022-21724:custom.dtd.xml
tcpdump_5
题目内容:给出攻击者获取系统权限后,下载的工具的名称,比如nmap
慢慢翻,翻到了一个GitHub的链接,一看库名,大概率就是这个了
fscan
9.HD
hacked_1
题目内容:admIn用户的密码是什么?
tcp56流
username=NQq5hKinIsaMmIZ7FCTC0Q%3d%3d&password=KGM7NI0/WvKswK%2bPlmFIhO4gqe8jJzRdOi02GQ0wZoo%3d
flag{WelC0m5_TO_H3re}
hacked_2
题目内容:app.config['SECRET_KEY']值为多少?
直接搜secret
Content-Type: text/html; charset=utf-8
Content-Length: 1214
Vary: Cookie
Server: Werkzeug/2.0.2 Python/3.9.12
Date: Sat, 28 May 2022 12:02:51 GMT
hello! <Config {'ENV': 'production', 'DEBUG': False, 'TESTING': False, 'PROPAGATE_EXCEPTIONS': None, 'PRESERVE_CONTEXT_ON_EXCEPTION': None, 'SECRET_KEY': 'ssti_flask_hsfvaldb', 'PERMANENT_SESSION_LIFETIME': datetime.timedelta(days=31), 'USE_X_SENDFILE': False, 'SERVER_NAME': None, 'APPLICATION_ROOT': '/', 'SESSION_COOKIE_NAME': 'session', 'SESSION_COOKIE_DOMAIN': False, 'SESSION_COOKIE_PATH': None, 'SESSION_COOKIE_HTTPONLY': True, 'SESSION_COOKIE_SECURE': False, 'SESSION_COOKIE_SAMESITE': None, 'SESSION_REFRESH_EACH_REQUEST': True, 'MAX_CONTENT_LENGTH': None, 'SEND_FILE_MAX_AGE_DEFAULT': None, 'TRAP_BAD_REQUEST_ERRORS': None, 'TRAP_HTTP_EXCEPTIONS': False, 'EXPLAIN_TEMPLATE_LOADING': False, 'PREFERRED_URL_SCHEME': 'http', 'JSON_AS_ASCII': True, 'JSON_SORT_KEYS': True, 'JSONIFY_PRETTYPRINT_REGULAR': False, 'JSONIFY_MIMETYPE': 'application/json', 'TEMPLATES_AUTO_RELOAD': None, 'MAX_COOKIE_SIZE': 4093}>···············
ssti_flask_hsfvaldb
hacked_3
题目内容:flask网站由哪个用户启动?
tcp流76
$python .\exp.py .eJwdx1EKwyAMANCrDEGiPz1Ar1KGZBi7gBpplH2Idy_d-3vTDKWrYiGzm2k5vZRUWeo2WsRObkLKeMKeuekoB4RwZvlg1hDg_S917lSeOhAFf0CTRvXp7ytYGPx2EUbnl7drWqqRk11m3cGmKw0.YpIQcw.J5vs8t8bAr0xDIxF6EqUAH2kkLE
{'username': "{%if session.update({'flag':lipsum['__globals__']['__getitem__']('os')['popen']('whoami').read()})%}{%endif%}"}
$ python .\exp.py .eJwdylsKAyEMQNGtFEGiUGYBs5VpkRQz04AvjNIPce-t_TyXO9QZ8FK7quQfSd1VF6oJI_3S0HzehEQ4p60Xj43MgPXDHrhIjwc4d4X8wiDOwfNPatwoLhrIAvaAkgulxc87Y2SwWyX0xk6r59CUPJ96qvkFHeUvmg.YpIQkg.65xf8l2g9fXAImkfyihId46KkY4
{'flag': 'red\n', 'username': "{%if session.update({'flag':lipsum['__globals__']['__getitem__']('os')['popen']('whoami').read()})%}{%endif%}"}
red
hacked_4
题目内容:攻击者写入的内存马的路由名叫什么?(答案里不需要加/)
翻了一下就找到了,这个流
Index