D 模块 CTF 防御

已于 2022-11-22 09:57:42 修改
阅读量3.4k 收藏 29
点赞数 2
分类专栏: 比赛 文章标签: 流量
于 2021-10-16 15:24:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48985780/article/details/120799225
版权

第四部分:D 模块 CTF 夺旗-防御

总体要求:根据任务要求,参赛队通过扫描、渗透测试等手段检测自己堡垒

服务器中存在的安全缺陷,进行针对性加固,从而提升系统的安全防御性能。

注意:该模块所有的时间格式是数据包内设置时间格式为:flag{12:34:37.347025}

1) 分析攻击者的IP地址并作为flag提交。flag:flag{xxx.xxx.xxx.xxx}

flag:flag{192.168.1.180}

2) 分析攻击者找到后台地址的时间。将黑客第一次访问的后台地址的时间(Time字段)的值作为flag提交。

wireshark过滤语法:ip.addr == 192.168.1.180 && http.request.uri contains "/index.php/admin"

flag:flag{12:59:06.816816}

3) 分析攻击者成功进入后台的时间(Time字段)的值。将时间作为flag提交。

wireshark过滤语法:ip.addr == 192.168.1.180 && http.request.uri contains "/index.php/admin" && http contains "passwd=admin"

flag:flag{13:01:48.032447}

4) 分析攻击者第一次访问webshell的时间(Time字段)的值。将时间作为flag提交。

wireshark过滤语法:ip.addr == 192.168.1.180 && http.request.uri contains "/class/cache304/index.php"

flag:flag{13:06:44.844874}

5) 分析攻击者上传webshell的手法。将攻击者用于传递webshell用的文件名作为flag提交。

wireshark过滤语法:ip.addr == 192.168.1.180 && http.request.method == "POST"

看到一段应用商店的下载请求并且下载地址是黑客的服务器地址:

flag:flag{cache304.1.0.zip}

6) 分析攻击者webshell文件上传的算法,将通过webshell上传的恶意文件的目标路径以及文件名作为flag提交。

wireshark过滤语法:ip.addr == 192.168.1.180 && http.request.uri contains "/class/cache304/index.php"

过滤完成后可得到如下的数据包:

分析post的a的值可知,通过Post提交的参数进行了base64编码并在前面添加了2个垃圾字符。所以对数据包进行过滤可知:

flag:{/tmp/peerserver_linux_x64}

7) 分析攻击者给刚刚用webshell上传的文件增加执行权限的数据包长度(Length字段)的值,将长度作为flag提交。

wireshark过滤语法:ip.addr == 192.168.1.180 && http.request.uri contains "/class/cache304/index.php"

对该数据包进行解密

flag:flag{836}

8) 分析攻击者用于传递tty的shell连接秘钥。将秘钥作为flag提交。

wireshark语法:ip.addr == 192.168.1.180 && http.request.uri contains "/class/cache304/index.php"

追踪TCP流量发现执行的代码

进行url解密提取base64进行base64解码后可看到明文代码:

flag:flag{j89e23ry37hw9348yrh923}

9)分析攻击者提权的方式。将攻击者上传提权可执行文件的时间(Time字段)的值作为flag提交。

通过之前的流量分析可知攻击者通过udp加密传输的命令执行。然后执行了一条下载提权文件的命令。提权文件通过tcp进行传输。

还可以通过虚拟机内docker中的.bash_history文件拿到线索分析出来

flag:flag{13:18:18.847510}

10) 分析攻击者提权的过程,将攻击者提权成功后第一次连接的时间(Time字段)的值作为flag提交。

根据虚拟机内docker中的.bash_history文件拿到线索分析出来在下载完成后就执行了docker逃逸操作,并且连接到攻击者的8888端口。所以查找第一次与8888端口握手的时间。

flag:flag{13:19:06.809000}

11)分析攻击者提权的过程,将攻击者提权成功后执行的第一个和第二个命令按顺序拼接在一起作为flag提交。

wireshark语法:ip.addr == 192.168.1.180 && tcp.port == 8888

追踪流查看执行的命令:

 

flag:flag{idifconfig}

12) 分析攻击者提权成功后的操作,将攻击者添加的用户的用户名密码作为flag提交。

通过查看用户列表可以看到多出一个zxb用户。

然后可以在数据包中过滤zxb关键字,找到数据包。

flag:flag{zxb123456}

13)分析攻击者权限维持操作,并将攻击者上传的打包文件的文件名作为flag提交。

flag:flag{reptile.tar}

14)分析攻击者权限维持操作,并将攻击者上传的可执行后门程序的文件名作为flag提交。

flag:flag{reptile_sshe}

15)分析攻击者权限维持操作,并将攻击者在自启脚本中用于开机启动后门程序的那行命令作为flag提交。

flag:flag{./etc/ssh/reptile_sshe&}

16)分析攻击者权限维持操作,并将自启程序连接的远程服务器端口号作为flag提交。

flag:flag{8081}

17)分析攻击者权限维持操作,将攻击者免密登陆的认证文件的md5值作为flag提交。

flag:flag{17e13bc510e4c758d69a0305c498a0e7}

xzhome
关注
  • 2
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTF线下防御战 — 让你的靶机变成“铜墙铁壁”
Yatere的天平秤
12-21 6843
一. 前言 随着CTF的普及,比赛的形式也有了越来越多的花样,对于线下赛来说,开始出现了安全加固或者防御战之类的环节,亦或者因为拿下靶机后不希望其他攻击者进入而进行“争夺”,无论什么形式,这些都需要我们对于服务器的防护工作有所了解。对于线下赛,笔者虽说没有什么很高超的攻防技巧,但也是有着一些自己的心得。本文总结了一些CTF线下赛中常用的服务器加固姿势,希望能对各位CTF朋友们有所帮助。环境针
一道CTF场景还原&&防御攻破
chengman3837的博客
12-26 471
1.文章难易度:【★★★】 2.文章知识点:php语法;php伪协议;ctf; 3.文 章 作 者:xiaoye 4.本文参与i春秋社区原创文章奖励计划,未经许可禁止转载! 前言 例行打卡,昨晚让一个bug弄得觉也没睡好。。果然我太菜。。本来是打算写XXE的,但是想起来了之前在一个...
CTF—AWD防御起手式
最新发布
zkaqlaoniao的博客
05-10 627
AWD (Attack With Defence),比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。php//设置与客户机断开是否会终止脚本的执行,这里设置为true则忽略与用户的断开,即使与客户机断开脚本仍会执行//设置脚本最大执行时间,这里设置为0,即没有时间方面的限制//删除文件本身,以起到隐蔽自身的作用$code = '';//进行校验是为了防止自家木马被其他人利用while (1){
网络安全竞赛CTF夺旗-攻击——windows靶机漏洞攻防讲解
旺仔Sec&blog
05-25 817
一、项目和任务描述: 假定你是某企业的网络安全渗透测试工程师,负责企业某些服务器的安全防护,为了更好的寻找企业网络中可能存在的各种问题和漏洞。你尝试利用各种攻击手段,攻击特定靶机,以便了解最新的攻击手段和技术,了解网络黑客的心态,从而改善您的防御策略。 请根据《赛场参数表》提供的信息,在客户端使用谷歌浏览器登录答题平台。 二、操作系统环境说明: 客户机操作系统:Windows 10/Windows7 靶机服务器操作系统:Linux/Windows 三、漏洞情况说明: 1.服务器中的漏洞可能是常规漏洞也可能
ctf从入门到放弃:SQL漏洞的常见防范190510
爱党人士
05-11 242
SQL Inject注入漏洞的防范:  代码层面 对输入进行严格的转义和过滤 使用预处理和参数化(Parameterized )  网路层面 通过WAF设备启用防SQL Inject注入策略(或类似防护系统) 云端防护(360网站卫士,阿里云盾等) 代码层面: PHP防范转义+过滤 但其实效果并不是太好。 因为数据库版本会更新的, 已更新后可能会产生新的函数,新的语法, 那么就意味着...
CTF练习靶场
k0sec的安全路
11-04 1085
Jarvis OJ https://www.jarvisoj.com 墨者学院 https://www.mozhe.cn bugkuctf https://ctf.bugku.com/
D^3CTF 2019 Challenges.zip
08-16
D^3CTF 2019 CTF
CTF100题.docx
05-25
在攻防模式CTF赛制中,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式CTF赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出...
CTF题库超详细资源合集
06-14
ctf题库 CTF 题⽬类型⼀般分为 Web 渗透、RE 逆向、Misc 杂项、PWN ⼆进制漏洞利⽤、Crypto 密码破译。 在传统的CTF线上⽐赛中,Web类题⽬是主要的题型之⼀,相较于⼆进制、逆向等类型的题⽬,参赛者不需掌握系统...
2023陕西CTF部分题目
06-08
记一道MISC的题目,群里来的,发现cyberchef新用法
ctf拼图例题-puzzle
04-13
关于puzzle例题的原题资源,搭配文章使用更配噢 https://editor.csdn.net/md/?articleId=124139016
网络安全CTF夺旗赛入门到入狱-入门介绍篇
2201_75735270的博客
09-25 880
flag是指一串具有一定格式的字符串或其他内容,flag可能来自于一台远端的服务 器,一个复杂的软件,也可能隐藏在一段通过密码算法或协议加密的数据,或是一 组网络流量及音频视频文件中。选手需要综合利用自己掌握的安全技术,并辅以快 速学习新知识,通过获取服务器权限,分析并破解软件或是设计解密算法等不限定 途径来获取flag。CTF攻防模式。
CTF综合靶机渗透
xv66666的博客
08-11 967
虚拟机难度中等,使用ubuntu(32位),其他软件包有:PHPapacheMySQLBoot to root:从Web应用程序进入虚拟机,并获得root权限。靶机:使用VMWare打开虚机,网络连接方式设置为net,靶机自动获取IP。攻击机:同网段下有Windows攻击机,安装有Nmap、Burpsuit、Sqlmap、nc、Python2.7、DirBuster、AWVS、Nessus等渗透工具,kali攻击机,主要用Windows攻击机完成实验。ip发现启动Billu_b0x虚拟机,由于虚机网络设置为
CTF刷题04
Atkx's Blog
10-11 2905
RSA1 这道题属于已知p、q、dp、dq、c求明文类型 上脚本 p = 8637633767257008567099653486541091171320491509433615447539162437911244175885667806398411790524083553445158113502227745206205327690939504032994699902053229 q = 1264067497399647276917604793717088342092705082148001058159
CTF做题小记
weixin_51536807的博客
01-22 3244
1.XCTFWeb新手区xff_referer 根据题目描述先了解XFF和Referer。 再看到题目中的“ip地址必须为123.123.123.123”我们可以想到用BP抓包修改IP地址。 在请求中加入 X-Forwarded-For:123.123.123.123 注:要加在Connection: close之前 发现得到了一句话: 这时就要用上Referer伪造了。 再次添加 Referer:https://www.google.com 后发送即可得到flag。 2.XCTFWeb新
CTF之MISC练习一
渗透测试研究中心
12-17 6070
一、flag的提交格式flag{th1s_!s_a_d4m0_4la9}二、PDF隐写writeup:使用在线word转pdf工具,转成word文件,然后拖动就可以查看到flaghttps://app.xunjiepdf.com/pdf2word/ 三、GIF图片隐写一writeup:1.使用Stegsolve工具的Frame Browser浏览器查看静态的图片File Format: 文件格式...
命令执行漏洞之CTF
qq_46085232的博客
07-09 390
命令执行漏洞之CTF[ACTF2020 新生赛]Exec[GXYCTF2019]Ping Ping Ping总结 作为菜鸟的我,开始想通过玩玩ctf,加深自己对漏洞的理解,和掌握一些绕过的思路。真的很好玩 [ACTF2020 新生赛]Exec 这是我做的第一道有关命令执行的题。(题目简单,就不贴图了) 1.通过标题,和一进去的ping的页面,就知道这里考的是命令执行,又因为这里是新生赛,难度也不大 2.通过我所学的知识,用‘;ls’,查看当前目录,然后就行通过echo写入一句话后门,也成功写入。用蚁剑连接,
应急响应练习1
whale_waves的博客
11-13 1827
4. 提交攻击者目录扫描所使用的工具名称 从目录攻击的流量来看,在常用的目录扫描工具中 使用的应该是用的:御剑或者dirsearch 响应消息短,大量head请求方法以及host消息头 如果是dirbuster会有user-agent特征 Dirb user-agent会显示ie6.0 其大概就是, 只有御剑和dirsearch没有us
渗透测试--CTF--FLAG
qq_50034496的博客
12-06 5199
渗透测试--CTF--FLAG
ctf python模块
05-31
CTF是Capture The Flag的缩写,...7. scapy:一个用于网络协议分析和操作的Python模块,可以用于CTF中的网络攻击和防御。 以上是一些常用的Python模块,用于CTF比赛中,当然还有很多其他的Python模块也可以用于CTF中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值