1.HW

hard_web_1

題目內(nèi)容：服務(wù)器開放了哪些端口，請按照端口大小順序提交答案，并以英文逗號隔開(如服務(wù)器開放了80 81 82 83端口，則答案為80,81,82,83)

過濾器:ip.dst == 192.168.162.188 and tcp.connection.synack

解法一：

鍵盤按住向下，一個一個看，能看到 80, 888, 8888?

答案：80,888,8888

ip.dst是指IP報文中的目標(biāo)IP地址。在計算機(jī)網(wǎng)絡(luò)中，每個設(shè)備都有一個唯一的IP地址，用于標(biāo)識其在網(wǎng)絡(luò)中的位置。發(fā)送數(shù)據(jù)時，數(shù)據(jù)包會被封裝成IP報文，并通過網(wǎng)絡(luò)傳輸?shù)侥繕?biāo)設(shè)備。ip.dst即表示這個IP報文的目標(biāo)設(shè)備的IP地址。

篩選出且TCP連接為SYN-ACK的網(wǎng)絡(luò)數(shù)據(jù)包是為了檢測網(wǎng)絡(luò)中的活動主機(jī)和端口。在TCP三次握手過程中，當(dāng)客戶端發(fā)送SYN包給服務(wù)器時，服務(wù)器會回復(fù)一個SYN-ACK包作為確認(rèn)。通過篩選出這種類型的數(shù)據(jù)包，可以識別哪些主機(jī)和端口處于活動狀態(tài)，并進(jìn)一步監(jiān)測網(wǎng)絡(luò)連接的建立和關(guān)閉情況。

此外，篩選出SYN-ACK包還可以幫助網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)安全分析。攻擊者通常會發(fā)送大量的SYN包來進(jìn)行端口掃描，以尋找可能存在的漏洞。通過篩選出SYN-ACK包，管理員可以確定哪些連接是成功建立的，并對非法掃描行為進(jìn)行識別和響應(yīng)。

總之，篩選出并分析TCP連接為SYN-ACK的網(wǎng)絡(luò)數(shù)據(jù)包有助于網(wǎng)絡(luò)管理和安全監(jiān)測。

解法二

還有另一種過濾語法：

從一道題分析Nmap SYN/半連接/半開放掃描流量_syn包識別nmap流量_末 初的博客-CSDN博客TCP掃描確認(rèn)端口開放的標(biāo)志就是返回SYN+ACK的包，所以只需要過濾SYN、ACK狀態(tài)都為1的包即可

tcp.flags.syn==1 and tcp.flags.ack==1

答案：80,888,8888

解法三：hw-典型哥斯拉流量

【流量分析】Godzilla分析_王俊凱迷妹的博客-CSDN博客

(ip.src == 192.168.162.180 ) && (ip.proto == 6)

hard_web_2

解法一：

過濾http發(fā)現(xiàn)這里有個shell.jsp

?右鍵追蹤HTTP流，可以看到shell.jsp的內(nèi)容，哥斯拉AES加密的shell
PS：選擇HTTP流是因?yàn)榻?jīng)過gzip解碼的，如果是追蹤TCP流還需要解碼gzip

那么經(jīng)過shell.jsp的流量就是AES加密過的，密鑰已知：748007e861908c03?

?選擇原始數(shù)據(jù)，以0d0a0d0a為請求體/響應(yīng)體和請求頭/響應(yīng)頭的界限

“0d 0a”這兩個字符是什么涵義_0d0a_liuyukuan的博客-CSDN博客

然后直接丟 CyberChef 梭哈

?能解密流量了，就慢慢看過找flag即可，讀取flag在tcp.stream eq 20053

?

flag{9236b29d-5488-41e6-a04b-53b0d8276542}

?解法二用腳本：

【流量分析】Godzilla分析_王俊凱迷妹的博客-CSDN博客

hard_web_3

?密碼一般是作為請求包的請求頭，密鑰md5后前16個作為key，也就是 xc=748007e861908c03，使用cmd5解密得到 14mk3y

可能有人說這個cmd5收費(fèi)，還有辦法，那就是爆破，這個出題人的預(yù)期解就是爆破去解題：

import requests
import hashlib
dic = "abcdefghijklmnopqrstuvwxyz0123456789"
for i in dic:
    for j in dic:
        for k in dic:
            for l in dic:
                s='1'+i+j+k+l+'y'
                md5=hashlib.md5(s.encode('utf-8')).hexdigest()
                if '748007e861908c03' in md5[:16]:
                    print(s)
                    print(md5)
                    break

2.SS

sevrer save_1

過濾http，前面都是爆破的干擾流量，直接看到后面

從這個/helloworld/greeting開始追蹤TCP流，直接搜索引擎檢索Payload關(guān)鍵字即可鎖定CVE編號

sevrer save_2?

繼續(xù)追蹤TCP流，在tcp.stream eq 106，即可發(fā)現(xiàn)反彈shell的IP和端口?

?

?192.168.43.128:2333

sevrer save_3

?/home/guests/下發(fā)現(xiàn)一個main文件，是ELF可執(zhí)行文件

?main

sevrer save_4

生成的用戶名和密碼，直接查看/etc/passwd以及/etc/shadow

?

?新創(chuàng)建的用戶名和密碼：ll:123456

sevrer save_5

/home/guests/.log.txt中有一個外網(wǎng)IP：172.105.202.239

?sevrer save_6

?從main文件的修改時間來看，以及.idea中兩個看著很像挖礦程序的修改時間完全相同來猜測，lolMiner、mine_doge.sh是病毒運(yùn)行后釋放的文件

?

?sevrer save_7

?打開mine_doge.sh

很明顯，礦池地址：doge.millpools.cc:5567?

sevrer save_8

錢包地址：DOGE:DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9

3.WS

4.IR

IncidentResponse_1

VMware打開irTest.ova，中間有一些報錯，問題不大，繼續(xù)即可。查看一下root用戶最新更新過的記錄文件: .bash_history、.viminfo

?

.bash_history看了有一些修改操作，但是看了看這些文件內(nèi)容貌似也沒發(fā)現(xiàn)挖礦痕跡

.viminfo發(fā)現(xiàn)了大量修改redis相關(guān)配置

?

?查看redis.conf，這里YOUR_WALLET_ADDRESS就很可疑了

URL地址一查

?那么挖礦程序應(yīng)該就是redis

└─# echo -n '/etc/redis/redis-server'|md5sum|cut -d '' -f1
6f72038a870f05cbf923633066e48881

?IncidentResponse_2

└─# echo -n 'donate.v2.xmrig.com'|md5sum|cut -d '' -f1
3fca20bb92d0ed67714e68704a0a4503

IncidentResponse_3

?直接查看jar包運(yùn)行啟動后的日志文件nohup.log

?

echo -n 'shirodeserialization'|md5sum|cut -d '' -f1 反序列化漏洞
3ee726cb32f87a15d22fe55fa04c4dcd

?IncidentResponse_4

攻擊者都植入挖礦程序了，肯定登陸過服務(wù)器，直接last查看登錄記錄

也可以查看Nginx中的訪問日志，tail /var/log/nginx/access.log

?IncidentResponse_5

?就是最后訪問時帶的 UserAgent

?IncidentResponse_6

?authorized_keys不為空，推測攻擊者開啟了root的SSH私鑰登錄

?IncidentResponse_7

/lib/systemd/system/redis.service這個配置很可疑，一直在重啟redis，也是在不斷維持植入的礦機(jī)程序?

SSW

SmallSword_1

直接過濾：tcp contains "$_POST"

6ea280898e404bfabd0ebb702327b18f

過濾語法 "tcp contains "$_POST"" 是用于網(wǎng)絡(luò)數(shù)據(jù)包分析和過濾的語法。在該語法中，"tcp" 表示只考慮 TCP 協(xié)議的數(shù)據(jù)包，"contains" 表示只選擇包含指定字符串的數(shù)據(jù)包，而 "$_POST" 是一個字符串模式，用于匹配網(wǎng)絡(luò)數(shù)據(jù)包中是否包含該特定的字符串。通過這個過濾語法，可以篩選出包含 $_POST 字符串的 TCP 數(shù)據(jù)包，進(jìn)而進(jìn)行進(jìn)一步的分析或檢查。$_POST 是一個常見的 PHP 變量，用于存儲通過 POST 請求方式提交的表單數(shù)據(jù)。因此使用這個過濾語法可以幫助我們分析和監(jiān)測包含敏感信息的網(wǎng)絡(luò)數(shù)據(jù)包。

需要注意的是，過濾語法的具體用法可能會因網(wǎng)絡(luò)分析工具的不同而有所差異。上述例子中的過濾語法適用于使用Wireshark等網(wǎng)絡(luò)數(shù)據(jù)包分析工具。

SmallSword_2

過濾http，從最后往前看，因?yàn)榍懊娲蠖嗍菕呙枇髁?，沒啥關(guān)鍵的。蟻劍的base64傳輸，直接解碼一條一條看即可

在tcp.stream eq 142發(fā)現(xiàn)寫入的內(nèi)容

?

ad6269b7-3ce2-4ae8-b97f-f259515e7a91

SmallSword_3

?tcp.stream eq 130有一個exe，很大

?選擇為原始數(shù)據(jù)全部復(fù)制出來，去掉第一行的HTTP請求包的內(nèi)容，另存為hexdata.txt

Python簡單處理即可

with open('hexdata.txt', 'r') as f:
	with open('1.exe', 'wb') as f1:
		lines = f.readlines()
		for line in lines:
			line = line.strip()
			f1.write(bytes.fromhex(line))

?將HTTP響應(yīng)包的頭以及多余數(shù)據(jù)去掉，保存

?

?是一個Python打包的exe文件，運(yùn)行得到一個test.jpg

查看文件頭，是一個PNG圖片，修改后綴為.PNG，打開后CRC校驗(yàn)報錯，推測修改了圖片高度

?修改高度即可

?flag3{8f0dffac-5801-44a9-bd49-e66192ce4f57}

EW

ez_web_1

一開始以為是這個d00r.php，試了發(fā)現(xiàn)不對

然后在檢索d00r.php時發(fā)現(xiàn)了一個名為ViewMore.php的文件

?右鍵追蹤TCP流發(fā)現(xiàn)是ViewMore.php寫入的d00r.php

所以答案為：ViewMore.php?

ez_web_2

追蹤TCP流發(fā)現(xiàn)執(zhí)行了ifconfig，響應(yīng)內(nèi)容格式是Gzip，問題不大

?對當(dāng)前流選擇右鍵，追蹤HTTP就可以看到明文了

?

?192.168.101.132

ez_web_3

?還是這個流：tcp.stream eq 100098

這里寫入了一個k3y_file

是一個壓縮包，直接轉(zhuǎn)化?

from base64 import *

base64_data = 'UEsDBBQAAQAAANgDvlTRoSUSMAAAACQAAAAHAAAAa2V5LnR4dGYJZVtgRzdJtOnW1ycl/O/AJ0rmzwNXxqbCRUq2LQid0gO2yXaPBcc9baLIAwnQ71BLAQI/ABQAAQAAANgDvlTRoSUSMAAAACQAAAAHACQAAAAAAAAAIAAAAAAAAABrZXkudHh0CgAgAAAAAAABABgAOg7Zcnlz2AE6DtlyeXPYAfldXhh5c9gBUEsFBgAAAAABAAEAWQAAAFUAAAAAAA=='
with open('k3y_file.zip', 'wb') as f:
	f.write(b64decode(base64_data))

?有密碼，往回找找線索，還是這個流，找到疑似密碼：7e03864b0db7e6f9

解壓得到答案：7d9ddff2-2d67-4eba-9e48-b91c26c42337

TP

tcpdump_1

當(dāng)爆破登錄失敗返回如下：

當(dāng)請求正確，返回如下：

根據(jù)返回特征，直接嘗試檢索：tcp contains "{\"errCode\":200}"

TMjpxFGQwD:123457

tcpdump_2

383c74db4e32513daaa1eeb1726d7255

(md5('accessToken=f412d3a0378d42439ee016b06ef3330c; zyplayertoken=f412d3a0378d42439ee016b06ef3330cQzw=; userid=1'))

tcpdump_3

直接過濾關(guān)鍵字：tcp contains "jdbc" and tcp contains "username" and tcp contains "password"

Linux curl命令最全詳解_Angel_CG的博客-CSDN博客

zyplayer:1234567

tcpdump_4

直接檢索jdbc的payload：tcp contains "jdbc:"
EXP應(yīng)該是這個：custom.dtd.xml

CVE編號直接將利用的包名和關(guān)鍵字貼上搜索引擎找就行

CVE-2022-21724:custom.dtd.xml

tcpdump_5

過濾http，從后往前追蹤TCP流即可發(fā)現(xiàn)

fscan

HD

hacked_1

登錄有AES加密，密鑰、iv都已知

接下來只需要找登錄成功的用戶名和密碼

直接AES解密

flag{WelC0m5_TO_H3re}

hacked_2

直接關(guān)鍵字檢索：tcp contains "SECRET"

ssti_flask_hsfvaldb

hacked_3

有SECRET_KEY，直接解密JWT即可，找到執(zhí)行命令的包

請求包：

PS D:\Tools\Web\CTF\flask-session-cookie-manager> python .\flask_session_cookie_manager3.py decode -s "ssti_flask_hsfvaldb" -c ".eJwdx1EKwyAMANCrDEGiPz1Ar1KGZBi7gBpplH2Idy_d-3vTDKWrYiGzm2k5vZRUWeo2WsRObkLKeMKeuekoB4RwZvlg1hDg_S917lSeOhAFf0CTRvXp7ytYGPx2EUbnl7drWqqRk11m3cGmKw0.YpIQcw.J5vs8t8bAr0xDIxF6EqUAH2kkLE"
{'username': "{%if session.update({'flag':lipsum['__globals__']['__getitem__']('os')['popen']('whoami').read()})%}{%endif%}"}

返回包：

PS D:\Tools\Web\CTF\flask-session-cookie-manager> python .\flask_session_cookie_manager3.py decode -s "ssti_flask_hsfvaldb" -c ".eJwdylsKAyEMQNGtFEGiUGYBs5VpkRQz04AvjNIPce-t_TyXO9QZ8FK7quQfSd1VF6oJI_3S0HzehEQ4p60Xj43MgPXDHrhIjwc4d4X8wiDOwfNPatwoLhrIAvaAkgulxc87Y2SwWyX0xk6r59CUPJ96qvkFHeUvmg.YpIQkg.65xf8l2g9fXAImkfyihId46KkY4"
{'flag': 'red\n', 'username': "{%if session.update({'flag':lipsum['__globals__']['__getitem__']('os')['popen']('whoami').read()})%}{%endif%}"}

答案：red

hacked_4

PS D:\Tools\Web\CTF\flask-session-cookie-manager> python .\flask_session_cookie_manager3.py decode -s "ssti_flask_hsfvaldb" -c ".eJx1jUsOgkAQBa-Cs2lJCEbdcQI9A0w6DdMaYjPgfAwJmbsLC1fq7r2kKrWo6NlZGlhValmiE7yNrkS8y9iSeMQaENvYS-jt-kDXwC8S0PtG0TSVZAxulovCezhcreEZigw-Q2hoDWUVXFhk3GXH0xnyRhULoONnZB-wCzP6QN0Dqt_9b1AXsMb_8F10jm3AjdApT0mlNx2uUsY.YpIRHQ.qS_PWmxt4i4cjHYBzDz-rUdTZns"
{'username': '{{url_for.__globals__[\'__builtins__\'][\'eval\']("app.add_url_rule(\'/Index\', \'Index\', lambda :\'Hello! 123\')",{\'_request_ctx_stack\':url_for.__globals__[\'_request_ctx_stack\'],\'app\':url_for.__globals__[\'current_app\']})}}'}

答案：Index

BF

內(nèi)存取證-volatility工具的使用 （史上更全教程，更全命令）_路baby的博客-CSDN博客

baby_forensics_1

給了兩個文件，一個磁盤鏡像，另一個猜測是內(nèi)存鏡像，DiskGenius打開.vmdk

發(fā)現(xiàn)是BitLocker加密的磁盤，但是給了內(nèi)存鏡像，直接嘗試EFDD提取恢復(fù)密鑰，先使用ArsenalImageMounter將BitLocker加密磁盤掛載起來

成功獲取恢復(fù)密鑰

560604-255013-655633-128854-663223-316063-484946-476498

打開得到key.txt

最扯的來了，雖然知道后覺得確實(shí)有點(diǎn)像rot47，但是還是覺得很腦洞。。。。

the key is 2e80307085fd2b5c49c968c323ee25d5

或者R-studio直接梭哈

baby_forensics_2

直接將calc.exe的內(nèi)存映射導(dǎo)出來

然后將2844.dmp修改后綴為GIMP可加載的.data格式，使用GIMP打開，然后就是不斷地調(diào)整位移、寬度。先不斷調(diào)整位移使之有圖像的陰影等，然后寬度適當(dāng)即可，如下：

或者使用這是 Volatility 3 工具的插件命令windows，用于執(zhí)行與 Windows 相關(guān)的分析。通過運(yùn)行此命令，您將獲取有關(guān)內(nèi)存轉(zhuǎn)儲中運(yùn)行的 Windows 進(jìn)程、模塊、文件和注冊表等信息

然后在其中尋找calc.exe和PID，找到這個Windows Handler的句柄名

7598632541

baby_forensics_3

pslist之前一眼便簽，肯定有東西 直接尋找.snt結(jié)尾的文件，導(dǎo)出

替換便簽原來的存儲位置，然后打開便簽，得到密文

U2FsdGVkX195MCsw0ANs6/Vkjibq89YlmnDdY/dCNKRkixvAP6+B5ImXr2VIqBSp94qfIcjQhDxPgr9G4u++pA==

密鑰找了好久，用R-Studio翻，最后在C:/Users/admin/Music下找到個i4ak3y

直接嘗試AES解密

文章來源地址http://www.zghlxwxcb.cn/news/detail-720399.html

到了這里，關(guān)于第二屆“隴劍杯”網(wǎng)絡(luò)安全大賽線上賽write up2023的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！