青少年CTF-取证合集

广君有点高

已于 2023-09-14 19:23:32 修改

阅读量870

点赞数 4

分类专栏： CTF 文章标签：网络安全网络系统安全安全安全威胁分析

于 2023-05-21 18:23:59 首次发布

本文链接：https://blog.csdn.net/weixin_53226786/article/details/130794861

版权

CTF 专栏收录该内容

5 篇文章 0 订阅

订阅专栏

日志分析1

题目描述

解压得到一个.log文件

由于黑客是上传所以我们通过命令
得到所有post请求的数据并写入到1.txt
strings access.log | grep POST >> 1.txt
我一直以为是flag{IP}搞半天一直是错误，后面有重新看了一下题目才知道，133.1.16.173 这个就是lag

日志分析 II

题目描述

简单看了一下都是sql语句，而且都有flag这个关键字，那我们就把所有关键字flag导出来

提取出来在都解码一下就能清晰的看到执行了那些语句，每个语句后面的应该都是Ascii码，提取出来在转换一下，
在这里插入图片描述
提取出来在转ASCII码应该就可以了，结果我提取出来解码，有些离谱奥，

参考大佬代码，进行修改

import re
import urllib.parse

file_path = r"1.log"
flag_ascii = {}

with open(file_path, 'r') as file:
    lines = file.readlines()

for line in lines:
    decoded_line = urllib.parse.unquote(line)
    if 'flag' in decoded_line:
        match = re.search(r'LIMIT 0,1\),(\d+),1\)\)>(\d+) HTTP/1.1" 200 (\d+)', decoded_line)
        if match:
            key, value = int(match.group(1)), int(match.group(2))
            value = value + 1 if int(match.group(3)) == 486 else value
            flag_ascii[key] = value

flag = ''.join(chr(value) for value in flag_ascii.values())
print(flag)

注意，我这里的1.log是解码后的sql语句，，然后拼接一下qsnctf{218.26.159.30-2023/03/06-就拿到flag了
在这里插入图片描述

WIFI名称

解压得到一堆文件，安卓的文件

查一下WiFi名称和密码保存在哪里，data/misc/wifi/wpa_supplicant.conf

搜了一下WiFi没有东西

那我们可以试着找一下后缀.conf的文件

找到了，红框标出来的文件,打开文件得到flag

近在眼前

解压得到虚拟机文件

给了一个提示，那得玩点骚的操作了

一台server 2008的机器

加一个pe iso 镜像

开机进入固件，把CD-ROM移到第一位

成功进入

搜索flag找到三个文件

弄出来，然后strings一下得到flag

高启强的电脑

题目描述
链接: https://pan.baidu.com/s/1NS3hhQPZ4i_Cml77OVujhQ?pwd=ik45 提取码: ik45

下载得到虚拟机文件，打开

一开机谈了个程序出来，要我们输入用户名

随便输入了一个用户名竟然关机了

还是老手法，直接搜flag

打开文件得到flag

高启强的电脑

题目描述

没见过这种，感觉有点难

在这大眼瞪小眼想了半天，啥也没弄出来

最后竟然在这个里面找到了flag

服务器日志

描述说了，有恶意用户下载了程序，那直接导出所有数据找一下

找到个这个，不知道有用没，

找了半天，不知道咋整了，想起个手法,找到一句话马子

全是手法，家人们

搜了一下flag，那就直接进wires hark打开压缩包搜

flag那个包里就只有显示信息，下一个包有个字符串,应该就是文件内容了

qsnctf{路径-密码-文件名-文件内容}解决了

SSH的密码

提供了字典和用户名，直接上九头蛇爆破

得到密码

登录成功，得到flag

Find flag在我另外一篇文章里，
………………………………………………………………

7月23更新

ssh01

真就没难度
在这里插入图片描述

ssh-02

直接搜索flag没有搜到，通过命令：grep -sr “qsnctf” / 找到一半flag,
在这里插入图片描述继续找半天没找到，进目录在打开一次就得到完整的了，原来是我窗口小了，结果这个不是正确flag
搜所有目录太慢了，一个一个搜最终在etc下面找到flag1

猜测应该还在etc目录下，但是搜第二个的话没有关键字qsnctf了，于是想到了有第一个这个关键字，那直接搜第二个不就好了，成功拿下2血
在这里插入图片描述

ssh-03

这题做的有点蒙，本来是要找flag嘛，找到几个文件打开，发现environ这个里面指向的是home下的qsnctf我就想着去看一下结果有一串想flag的我就试着提交结果就提交成功了…
在这里插入图片描述

ssh-04

被入侵了嘛，还带有flag，那就去日志目录一个一个过滤最终在/var/log/nginx/access.log 找到flag
在这里插入图片描述

9/14更

攻击流量分析1

描述：这是我做菜刀这题的流量包，请问你能够从我的流量包中拿到FLAG吗
万能strings+grep大法得到flag
在这里插入图片描述

攻击流量分析2

描述也说了是菜刀的流量
简单看了几个http的包，发现是webshell连接的流量，
在这里插入图片描述
把所有的POST请求都过滤出来

看了半天，在看描述请问你能够从我的流量包中拿到我写入文件中的FLAG吗
既然有写的操作，直接过滤write关键字

然后在通过在线网站https://potato.gold/navbar/tool/webshellDecrypt/index.php进行解密找了一下flag就出来了
在这里插入图片描述