首届“陇剑杯”网络安全大赛_wifi

最新推荐文章于 2023-08-27 00:06:12 发布
最新推荐文章于 2023-08-27 00:06:12 发布
阅读量643 收藏 3
点赞数
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72667582/article/details/132137463
版权

原题如下:

网管小王最近喜欢上了ctf网络安全竞赛,他使用“哥斯拉”木引进玩玩upload-labs ,并且保存了内存镜像、 wifi和服务器流量,让您来分析后作答:(本题仅1小问) 小王往upload-labs上传木马后进行了cat /flag,flag内容为__。

检材

服务器.pcap

客户端.cap

Windows 7-dde00fa9.vmem

wp

image-20230806225418962

image-20230806225437666

根据客户端流量可知,这是一个哥斯拉的php_eval_xor_base64的马,可以把哥斯拉一把梭的脚本先准备好

import base64
import gzip
​
​
def encode(D, K):
    D = list(D)
    for i in range(len(D)):
        c = K[i + 1 & 15]
        D[i] = D[i] ^ c
    return bytes(D)
​
​
key = b"3c6e0b8a9c15224a"
cipher_text = ""[16:-16]
# cipher_text = ""
​
out = encode(base64.b64decode(cipher_text), key)
print(gzip.decompress(out))

根据服务端流量可知,这是一个被加密过的wifi流量,wifi名为My_Wifi,解密的途径应该是通过分析内存镜像

image-20230806225824034

梳理完成,下面分析内存

我们使用的windows会保存我们使用的wifi的密码

HP 电脑 - Windows 10 如何查看无线 (WIFI) 密码 | HP®顧客支援

image-20230806230300678

或者使用cmd查看

netsh wlan show profiles
netsh wlan show profile name="yourWifiName" key=clear

image-20230806230430657

无线密码保存在电脑哪个文件_百度知道 (baidu.com)

因此我们有了大概搜文件的方向

image-20230806230624169

image-20230806230633863

vol3 -f Windows\ 7-dde00fa9.vmem dumpfiles --physaddr 0x3fdc38c8

将文件dump出来

image-20230806230723516

根据上面的内容我们也可以知道wifi的GUID{529B7D2A-05D1-4F21-A001-8F4FF817FC3A}

在xml中得到wifi密码

image-20230806230839243

根据wifi名,和wifi密码,我们可以对流量进行一个解密

image-20230806230919488

image-20230806230926949

经过过滤分析,发现了四个哥斯拉的返回包

image-20230806231025919

对其一一解密,在最后一个包中得到flag

import base64
import gzip
​
​
def encode(D, K):
    D = list(D)
    for i in range(len(D)):
        c = K[i + 1 & 15]
        D[i] = D[i] ^ c
    return bytes(D)
​
​
key = b"3c6e0b8a9c15224a"
cipher_text = "72a9c691ccdaab98fL1tMGI4YTljMn75e3jOBS5/V31Qd1NxKQMCe3h4KwFQfVAEVworCi0FfgB+BlWZhjRlQuTIIB5jMTU=b4c4e1f6ddd2a488"[16:-16]
# cipher_text = ""
​
out = encode(base64.b64decode(cipher_text), key)
print(gzip.decompress(out))
​
#b'flag{5db5b7b0bb74babb66e1522f3a6b1b12}\n'
b3nguang
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[2021首届陇剑杯网络安全大赛] webshell
ShenZ的博客
09-15 2984
题目描述 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 1.黑客登录系统使用的密码是_____________。 2.黑客修改了一个日志文件,文件的绝对路径为_____________。(请确认绝对路径后再提交) 3.黑客获取webshell之后,权限是______? 4.黑客写入的webshell文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt) 5.黑客上传的代理工具客户端名字是_____________。(如有字母请全部使用小写) 6.黑客代理工.
2024陇剑杯答题笔记(更新中),2024年最新真香系列
最新发布
2401_83974064的博客
04-13 654
在.idea中检查到如下两个文件,推测为挖矿软件。 题目: 打开mine_doge.sh可以看到内容如下 可以在POOL中找到矿池地址为 doge.millpools.cc:5567题目: 如上题,可在mine_doge.sh中找到钱包地址为 DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9.lolMinerWorker题目: 经过排序后可以看到只有两个ip在通信,所以可以推测ip为192.168.246.28 题目: 观察到这是一个telnet通信,于是追踪数据包 可以看到口令为 yo
陇剑杯-Misc-wifi
qq_47168481的博客
09-23 457
题目: 首先下载可以得到三个文件, 一个镜像,两个流量包(客户端和服务器端) 先看下客户端的流量: 流量被加密了,后面肯定需要通过某种方式解密 可以从中提取一些信息: SSID(路由器发送的无线信号的名字)=My_Wifi和HuaweiDe_4c:55:ec aircrack-ng主要用于wifi流量包密码的恢复,需要提供一份字典 airdecap-ng 用于解开正在加密的流量包 ,需要知道ssid和pass,这里猜测应该是用这个。 继续看服务端的包: 知道是上传了木马,那么肯定是通过post方式,查
首届陇剑杯网络安全大赛
m0_52484587的博客
08-27 220
分析到上图的这个包时,由于我们已经知道了 looter.so是恶意编译的文件,然后我们通过上图又看到 这个恶意文件与一个配置文件进行了一些操作,那么被修改的配置文件就是这个 /etc/pam.d/common.auth 提交后发现答案正确。让我们通过日志分析,找到黑客攻击的参数,这道题目十分的简单,我们通过下面这张图可以看到 只有一个 user参数被利用了,所以很明显黑客攻击的参数就是user。发现一个文件“1.php”,猜测这个就是黑客上传的代码形成的文件。
2021陇剑杯网络安全大赛-iOS
热门推荐
qq_43264813的博客
09-14 1万+
2021陇剑杯网络安全大赛-iOS 题目描述: 一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币若干,请你通过流量和日志分析后作答: 解题思路: 10.1黑客所控制的C&C服务器IP是__3.128.156.159__。 查看具体的tcp流,可以发现这⾥有转发操作 10.2黑客利用的Github开源项目的名字是_stowaway_。(如有字母请全部使用小写) 上⼀小题的流,wget⼀个github包 10.3通讯加密密钥的明文是__hack4sec__。 同上数据流,转
2021陇剑杯网络安全大赛wp-webshell部分(详细题解)
偷一个月亮
09-15 6526
3.1 3.2 其中web根目录可以再system命令中看到 3.3 3.4 3.5 写frpc配置文件,推测为frpc,正确 实际上传动作为 L3Zhci93d3cvaHRtbC9mcnBj解码base64即为/var/www/html/frpc 3.6 3.5中写配置动作,hex转字符后,如下 3.7 同上 ...
2021陇剑杯线上赛题.zip
09-28
守护数字安全,构建清朗空间!首届陇剑杯网络安全大赛,全国首次“以防为主”的网络安全大赛
首届网鼎杯网络安全大赛”正式启动.pdf
09-20
首届网鼎杯网络安全大赛”正式启动.pdf
2021陇剑杯线下赛题目
04-10
守护数字安全,构建清朗空间!首届陇剑杯网络安全大赛,全国首次“以防为主”的网络安全大赛
首届ST_EMBED电子设计大赛.pdf
05-17
首届ST_EMBED电子设计大赛.pdf首届ST_EMBED电子设计大赛.pdf首届ST_EMBED电子设计大赛.pdf首届ST_EMBED电子设计大赛.pdf首届ST_EMBED电子设计大赛.pdf
首届广西网络安全技术大赛初赛题目-encoded.zip
02-22
首届广西网络安全技术大赛初赛题目-encoded.zip
陇剑杯题目附件hack.pcap
11-20
陇剑杯题目附件hack.pcap
首届陇剑杯网络安全大赛wp-WIFI部分(详细题解)
偷一个月亮
09-16 1696
首届陇剑杯网络安全大赛wp(wifi) author:Neg00 题目介绍: 网管小王最近喜欢上了ctf网络安全竞赛,他使用“哥斯拉”木马来玩玩upload-labs,并且保存了内存镜像、wifi流量和服务器流量,让您来分析后作答:(本题仅1小问) 附件下载 https://share.weiyun.com/0kEM1pm5 下载文件解压得到三个文件 镜像分析 发现一个压缩包文件,提取出来分析 题目出现提示,密码是网卡的GUID password is Network Adapter G
首届陇剑杯网络安全大赛(部分WP)
weixin_46245411的博客
09-15 5421
浅谈~ 博主当成一次个人赛玩玩,没想到这次比赛的赛题类型还是很新颖的,基本都是MISC类型的题目 我这里上传了题目在百度云上,希望UU们手下留情~别让它爆了陇剑杯题目(提取码:vuno) 话不多说,直接上题解!! 1.1 使用wireshark打开其中的“Good.pcapng”流量包 发现有HTTP包,直接过滤HTTP包,再结合题目给出的提示,没有发现dns、ftp包,所以判断出是http协议攻击: 所以选择“http”协议的网络攻击 2.1 使用wireshark.
陇剑杯2021(一)
wha1e的博客
06-27 1722
陇剑杯2021(一)
陇剑杯----自己分析的
FogIslandBay的博客
09-17 1172
交流群:694364064 流量分析 分析数据包hack.pcap,黑客登录系统使用的密码是________。 分析数据包hack.pacap,黑客修改了一个文件日志,文件的绝对路径为________。 分析数据包hack.pcap,黑客获取webshell之后,权限是_________? 分析数据包hack.pcap,黑客写入的webshell文件名是_________。(请提交带有文件后缀的文件名,例如x.txt) 分析数据包hack.pcap,黑客上传的代理工具客户端名字是________
2021陇剑杯
qq_48511129的博客
12-13 471
过滤http,发现大量http数据包 只发现少量dns流量包和没有发现ftp流量包 所以判断出是http协议攻击 2.1 直接过滤HTTP包,右键选择“追踪流”进入tcp流 将token进行jwt解码,出现jwt字段,所以判断出是jwt认证 2.2 过滤http,追踪tcp流,将token内容直接拿去base64解码 得到 {“alg”:“HS256”,“typ”:“JWT”}.{“id”:10086,“MapClaims”:{“aud”:“admin”,“username”:"admin"fX0.t
陇剑杯总结
m0_55185160的博客
09-20 1220
对于陇剑杯这次比赛,我觉得比赛形式比较有创新,考核的内容更容易上手,多以日志的形式考核,包括SQL注入,我可以做的题目就是日志分析题和SQL注入题,这次比赛的流量分析太难了,没有了tcp/ip协议而是udp协议 无法入手,还有关于取证领域的还没学习涉及到,所以没有做。还有一个只是点不会的,就是在日志中得知SQL注入的payload,把数据库里的flag导出来。 ...
陇剑杯部分wp(参赛总结与反思)
cuddlylm的博客
10-17 577
1.签到 网管小王在上网途中发现自己的网络访问异常缓慢,于是对网络出口捕获了流量,请您分析流量后进行回答:(本题仅1小问) 此时正在进行的可能是___http___协议的网络攻击。(如有字母请全部使用小写,填写样例:http、dns、ftp) 看请求包,协议为http,版本为1.1 2.jwt 昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答: 这题要先了解什么是jwt JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JS
陇剑杯writeup
07-28
根据提供的引用内容,我了解到以下信息: - 引用\[1\]提到了关于虚拟机内存文件(vmem)和解析工具vol3的内容。 - 引用\[2\]提到了嫌疑人下载过无影无踪扫描文件,并导出了ntfs元文件和使用了内存镜像进行分析的命令。 - 引用\[3\]提到了一次内存分析的情况,并给出了内存主机的产品密钥。 然而,你的问题是关于"陇剑杯writeup",但是在提供的引用内容中并没有提到这个问题的相关信息。请提供更多的上下文或明确你的问题,以便我能够为你提供更准确的答案。 #### 引用[.reference_title] - *1* *2* *3* [[2021首届陇剑杯网络安全大赛 决赛]内存取证writeup](https://blog.csdn.net/weixin_46081055/article/details/120527685)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值