陇剑杯 2021 write up整理

竞赛 write up 收集和整理 2 JWT 3 4 日志分析 5 流量分析 6 内存分析 7 简单日志分析 8 SQL注入 9 wifi 10 IOS 11 加密的大文件

陇剑杯 2021 write up整理 1 签到题 1.1

【题目描述】

此时正在进行的可能是＿http＿协议的网络攻击。（如有字母请全部使用小写，填写样例：http，dns，ftp）

【操作内容】

如下图可知，正在进行的可能为 http 协议攻击。

2 JWT 2.1

【题目描述】

该网站使用了_jwt_认证方式。（如有字母请全部使用小写）

【操作内容】

简单的流量审计，查看登录后的 可知使用了 jwt 的认证方式。

2.2

【题目描述】

黑客绕过验证使用的jwt中，id和是#admin _。

【操作内容】

方法1：简单的流量审计，查看绕过用的 jwt 可得id和为10087#admin。

方法2：搜索得到

2.3

【题目描述】

黑客获取之后，权限是_== root==_？

【操作内容】

查看命令执行的结果可得：

2.4

【题目描述】

黑客上传的恶意文件文件名是_/tem/1.c_。

【操作内容】

查看命令执行内容可得：

2.5

【题目描述】

黑客在服务器上编译的恶意so文件，文件名是.so_。

【操作内容】

查看命令执行内容可得：

2.6

【题目描述】

黑客在服务器上修改了一个配置文件，文件的绝对路径为_/etc/pam.d/-auth_。

【操作内容】

发现文件“.so”文件被导向/etc/pam.d/-auth路径，猜测这里就是被修改的配置文件。

3 3.1

【题目描述】

黑客登录系统使用的密码是!@#_。

【操作内容】

在流量包中搜索pass、或者admin，即可查询到密码为“!@#”。

3.2

【题目描述】

黑客修改了一个日志文件，文件的绝对路径为_/var/www/html/data//Logs/Home/.log_。

【操作内容】

对日志进行分析，查看哪个数据包的流跟踪中带有log文件，如下图所示：

3.3

【题目描述】

黑客获取之后，权限是_ www-data_？

【操作内容】

3.4

【题目描述】

黑客写入的文件名是_1.php_。

【操作内容】

字符串过滤，对post数据包进行查找和分析，发现第337个数据包post上去了文件，写入的文件名为1.php。

3.5

【题目描述】

黑客上传的代理工具客户端名字是。

【操作内容】

查看上传的配置文件可得客户端名字为frpc。

方法1：

方法2：

3.6

【题目描述】

黑客代理工具的回连服务端IP是_192.168.239.123_。

【操作内容】

获得一串十六进制代码，直接打开

3.7

【题目描述】

黑客的的连接账号、密码是#。

【操作内容】

查看上传的配置文件可得账号和密码，如下图所示：

4 日志分析 4.1

【题目描述】

网络存在源码泄漏，源码文件名是____。

【操作内容】

(1) 使用编辑器打开.log文件，删除404所在行的所有信息（ctrl+f，find all，ctrl+L，），得到如下信息：

(2) 使用将上图中带有url编码的路径进行url ，结果如下：

(3) 以上内容可知源码的文件名为。

4.2

【题目描述】

分析攻击流量，黑客往/tmp目录写入一个文件，文件名为。

【操作内容】

继续分析上一步骤解码后的文件，可发现黑客写入的文件为。

4.3

【题目描述】

继续分析4.1中解码后的文件，可以发现黑客使用了类读取了秘密文件flag。

【操作内容】

5 流量分析 5.1

【题目描述】

攻击者的IP是____ == 172.18.0.125 ==。

【操作内容】

分析pcap流量包，主机ip应该是172.18.0.1，可以看到很多UDP协议的包。在看包内容的时候，注意到UDP包头都是P05=，而且有的是有，也有乱码的包。P05=后面都是00 00 00 00和01 00 00 00，其中00的长度是32、01的长度是16，可能是认证。

根据长度为16猜测可能是aes，用长度16的（即P05=后面是01 00 00 00的）作为aes key解密发现解密成功了，02 00 00 00对应的包里面都有一个可见字符，其中受害IP172.18.0.125有命令：wget 。

5.2

【题目描述】

攻击者所使用的会话密钥是 == ==。

【操作内容】

5.3

【题目描述】

攻击者所控制的C&C服务器IP是____ == 147.182.251.98 ==。

【操作内容】

第三问ip即为147.182.251.98（udp. eq 85）

6 内存分析 6.1

【题目描述】

虚拟机的密码是____ flag{ T0 THiS 34SY }。（密码中为flag{xxxx}，含有空格，提交时不要去掉）

【操作内容】

这里可以使用工具自带的也可以安装插件获取

6.2

虚拟机中有一个某品牌手机的备份文件，文件里的图片里的字符串为 flag{TH4NK Y0U FOR MY DATA}。（解题过程中需要用到上一题答案中flag{}内的内容进行处理。本题的格式也是flag{xxx}，含有空格，提交时不要去掉）

【操作内容】

这里使用扫描CTF用户的文件，发现了华为P40的备份文件

于是把华为备份文件dump出来，同时可以直接在dat文件里把备份文件夹解压出来，再利用工具

即可获取flag

7 简单日志分析 7.1

【题目描述】

黑客攻击的参数是（如有字母请全部使用小写）

【操作内容】

1、将日志文件中反馈为404的条目去掉，剩下3条数据包，数据包如下：

2、对数据包进行分析，即可获得黑客攻击的参数为user，如下图所示：

7.2

【题目描述】

黑客查看的秘密文件的绝对路径是_/Fi1e_。

【操作内容】

1、将日志文件中反馈为404的条目去掉，剩下3条数据包，数据包如下：

2、提取get对应的参数，结果如下：

3、将获取到的参数放入进行解码，结果如下：

因此秘密文件的绝对路径是：/Fi1e。

7.3

【题目描述】

黑客反弹shell的hip和端口是__192.168.2.197:（格式使用"ip：端口"，例如127.0.0.1：2333）

【操作内容】

分析7.2获取到的信息，即可发现反弹shell的ip和端口是：192.168.2.197:8888。

8 SQL注入 8.1

【题目描述】

黑客在注入过程中采用的注入手法叫__布尔盲注__。（格式为4个汉字，例如"拼博努力"）

【操作内容】

根据注入特征得知为布尔盲注。

8.2

【题目描述】

黑客在注入过程中，最终获取flag的数据库名、表名和字段名是#flag#。（格式为“数据库名#表名#字段名"，例如#）

【操作内容】

根据日志分析，获取到flag的“数据库名#表名#字段名”分别为“sqli#flag#flag”。

8.3

【题目描述】

黑客最后获取到的flag字符串为{-bcfd-487e-b940-}__。

【操作内容】

方法1：

1、根据布尔盲注的原理，将.log文件中多余的数据包去除，只剩下界面为真的数据条目，如下图所示：

2、将获取到的条目放入进行url解码，结果如下：

3、如此，成功获取到flag的值flag{-bcfd-487e-b940-}。

方法2：正则匹配

# coding : utf-8
import re
from urllib.parse import unquotefile_name = "access_1.log"
pattern_string = "select%20flag%20from%20sqli.flag"
#file_name = input("输入文件名，文件记得要在当前脚本目录下：")
#pattern_string = input("复制个特征值过来，比如select,flag啥的：")
flag = ''# 打开文件以及读取行数
get_File = open(file_name, "r+")
get_line = get_File.readline()while get_line:get_Data = re.search(pattern_string, get_line)if get_Data:get_Data_Num = re.search(r'4[7-8][0-1]?.*', get_Data.string)if get_Data_Num:flag += (re.findall(r"%20=%20\'(.+?)\'", get_Data_Num.string))[0]print(unquote(flag[:-1], 'utf-8'))get_line = get_File.readline()
get_File.close()

9 wifi 9.1

【题目描述】

小王往-labs上传木马后进行了cat /flag，flag内容为_____ flag{}。（压缩包里有解压密码的提示，需要额外添加花括号）

【操作内容】

分析 服务端.获取1.php

打开 客户端.cap发现是加密的Wi-Fi包

对内存进行分析（看桌面，看admin，意外发现.zip）

这里就需要一个前置知识了

网卡的 GUID 和接口绑定是绑定的，win7的wifi密码就存放在c:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces[网卡Guid]中

如果不知道这里，其实也可以使用命令：

getmac /V /S 127.0.0.1 

然后再搜索一下，因此这里直接搜索。

解压之后回去xml，里面存在wifi的信息

因此可以解密wifi流量

这里也可以使用如下命令

解密后可以获取加密返回的信息,到这里基础信息收集完毕了，剩下的就是解密流量了，参考文章：

https://www.freebuf.com/sectool/285693.html
https://blog.csdn.net/zeros__/article/details/111521314

根据上面的文章可以知道（对于加密方式来说，前后各附加了16位的混淆字符），所以我们拿到的流量要先删除前16位和后16位字符，同时的流量还会进行一个gzip压缩，因此最外层还要用进行一次解码。

最终解密1198号数据包的时候获取flag

在5.x的环境中运行获取flag flag{}

最后提供一个非常大神的解决方案，自己用同样的木马连接一下，然后改返回包就行了

10 IOS 10.1

【题目描述】

黑客所控制的C&C服务器IP是__3.128.156.159__。

【操作内容】

跟进流量中的TCP报文，发现在第15个TCP流中发现明文流量，首先从中下载了后门程序，如下图所示：

然后与攻击服务器建立连接，如下所示：

得知C&C服务器为3.128.156.159。

10.2

【题目描述】

黑客利用的开源项目的名字是。（如有字母请全部使用小写）

【操作内容】

基于字符串类型过滤流量包内容，匹配到以下数据包：

因此下载到的开源项目名称为：。

10.3

【题目描述】

通讯加密密钥的明文是。

【操作内容】

根据TCP流量，得知该的加密密钥明文，如下图所示：

10.4

【题目描述】

盲注拿到了一个敏感数据-c841-456b-85d7-。

【操作内容】

这里需要先对TLS数据流进行解密。首选项，TLS 选择.txt