97ssw:2023第二届陇剑杯wp(ak) 2024-04-16 20:43:19 0 0 ak数据分析部分 1.HW hard_web_1题目内容:服务器开放了哪些端口,请按照端口大小顺序提交答案,并以英文逗号隔开(如服务器开放了80 81 82 83端口,则答案为80,81,82,83) 过滤器:ip.dst == 192.168.162.188 and tcp.connection.synack 键盘按住向下,一个一个看,能看到 80, 888, 888880,888,8888 hard_web_2 先执行第一次脚本,在返回包24208得到了key为xc 748007e861908c03 指定key进行解密就好了$ python .\GodzillaBuster.py -k 748007e861908c03 -f .\hard_web.pcap -v 4 flag{9236b29d-5488-41e6-a04b-53b0d8276542} hard_web_3 密码一般是作为请求包的请求头,密钥md5后前16个作为key,也就是 xc=748007e861908c03,使用cmd5解密得到 14mk3y14mk3y 2.SS sevrer save_1题目内容:黑客是使用什么漏洞来拿下root权限的。格式为:CVE-2020-114514本题附件见于平台公告的SS.zip,解压密码为c77ad47ba4c85fae66f08ec12e0085dd CVE-2022-22965 sevrer save_2题目内容:黑客反弹shell的ip和端口是什么,格式为:10.0.0.1:4444 192.168.43.128:2333 sevrer save_3题目内容:黑客的病毒名称是什么? 格式为:filename main sevrer save_4题目内容:黑客的病毒运行后创建了什么用户?请将回答用户名与密码:username:password ll:123456 sevrer save_5题目内容:服务器在被入侵时外网ip是多少? 格式为:10.10.0.1 172.105.202.239 sevrer save_6题目内容:病毒运行后释放了什么文件?格式:文件1,文件2 lolMiner,mine_doge.sh sevrer save_7题目内容:矿池地址是什么? 格式:domain:1234 doge.millpools.cc:5567 sevrer save_8题目内容:黑客的钱包地址是多少?格式:xx:xxxxxxxx DOGE:DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9 3.WS 就看TCP流就好了,全部答案都在 Wireshark1_1题目内容:被入侵主机的IP是? 192.168.246.28 Wireshark1_2题目内容:被入侵主机的口令是? youcannevergetthis Wireshark1_3题目内容:用户目录下第二个文件夹的名称是? Downloads Wireshark1_4题目内容:/etc/passwd中倒数第二个用户的用户名是? mysql 4.IR 直接用 RStudio 去扫描,不然文件很难弄出来 IncidentResponse_1题目内容:你是公司的一名安全运营工程师,今日接到外部监管部门通报,你公司网络出口存在请求挖矿域名的行为。需要立即整改。经过与网络组配合,你们定位到了请求挖矿域名的内网IP是10.221.36.21。查询CMDB后得知该IP运行了公司的工时系统。(虚拟机账号密码为:root/IncidentResponsePasswd)挖矿程序所在路径是?(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案)本题附件见于平台公告的IR.zip,解压密码为f0b1ba11478343f404666c355919de3f 发现是用的redis挖矿,路径在 /etc/redis/redis-server /etc/redis/redis.conf 看到了矿池域名,所以肯定了就是这个 6f72038a870f05cbf923633066e48881 IncidentResponse_2题目内容:挖矿程序连接的矿池域名是?(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案) 查看 /etc/redis/redis.conf,在71行得到了矿池域名和端口donate.v2.xmrig.com 3fca20bb92d0ed67714e68704a0a4503 IncidentResponse_3题目内容:攻击者入侵服务器的利用的方法是?(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案) 看了一下history,看到使用nohup去保存运行的日志了,我们用RS导出一下 猜测是shiro序列化漏洞shirodeserialization 3ee726cb32f87a15d22fe55fa04c4dcd IncidentResponse_4题目内容:攻击者的IP是?(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案) history看到一个特殊的ip 81.70.166.3 c76b4b1a5e8c9e7751af4684c6a8b2c9 IncidentResponse_5题目内容:攻击者发起攻击时使用的User-Agent是?(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案) 使用 RStudio 扫描找到 /var/log/nginx/access.log ,导出到本地,然后分析所有的UA,写个代码分析一下:import reimport hashliblis = []with open("access.log", "r") as f: for line in f.read().splitlines(): if line.startswith("81.70.166.3") and "login" in line: lis.append(re.findall('81\.70\.166\.3.*?\" \"(.*?)\"', line)[0])lis = list(set(lis))for ua in lis: print(hashlib.md5(str(ua).replace(" ", "").lower().encode()).hexdigest()) 4483810fe28ece13342dec04ed2a7969afdf891d340e6663a417b47fa1f1dfd88b9dc10b76445f023232b42728c1e5fe44748ef7eb6e23c3aea256cf497157e66ba8458f11f4044cce7a621c085bb3c6 6ba8458f11f4044cce7a621c085bb3c6 IncidentResponse_6题目内容:攻击者使用了两种权限维持手段,相应的配置文件路径是?(md5加密后以a开头)(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案) /root/.ssh/authorized_keys a1fa1b5aeb1f97340032971c342c4258 IncidentResponse_7题目内容:攻击者使用了两种权限维持手段,相应的配置文件路径是?(md5加密后以b开头)(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案) 存放的 redis.service 这就实现了一个 systemd 服务的自动启动,使用这个手段维持权限,配置文件目录如下:/lib/systemd/system/redis.service b2c5af8ce08753894540331e5a947d35 5.SSW SmallSword_1题目内容:连接蚁剑的正确密码是______________?(答案示例:123asd) 密钥就是请求头 6ea280898e404bfabd0ebb702327b19f SmallSword_2题目内容:攻击者留存的值是______________?(答案示例:d1c3f0d3-68bb-4d85-a337-fb97cf99ee2e) 24475请求包 先urldecode 再base64解密就得到了,侥幸拿了个二血 ad6269b7-3ce2-4ae8-b97f-f259515e7a91 SmallSword_3题目内容:攻击者下载到的flag是______________?(答案示例:flag3{uuid}) 这个php文件5MB 一眼EXE头,删掉 2D 3E 7C ,后缀名改为 exe,运行得到一张图 010editor 打开后发现是png,改一下后缀名发现还是打不开,提示 爆破一下就好了flag3{8f0dffac-5801-44a9-bd49-e66192ce4f57} 6.EW ez_web_1题目内容:服务器自带的后门文件名是什么?(含文件后缀) 自带的是 ViewMore.php,这个php正在上传 d00r.phpViewMore.php ez_web_2题目内容:服务器的内网IP是多少? 肯定不是本机ip,所以是下面那个192.168.101.132 ez_web_3题目内容:攻击者往服务器中写入的key是什么? 里面有key.txt 7e03864b0db7e6f9 解压打开 key.txt 得到7d9ddff2-2d67-4eba-9e48-b91c26c42337 7.BF baby_forensics_1题目内容:磁盘中的key是多少? $ vol.py -f baby_forensics.raw --profile=Win7SP1x64 filescan | grep -iE "flag|.zip$|.rar$|.7z$|.txt$|.png$|.jpg$|.gif$|.pdf$|.doc$|.docx$|.pcap$|.pcapng$|.raw$|.kdbx$|Desktop\\\{1}.+" $ vol.py -f baby_forensics.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003df94070 -D ./ E96<6J:Da6g_b_f_gd75a3d4ch4heg4bab66ad5d rot47一下就好了thekeyis2e80307085fd2b5c49c968c323ee25d5 2e80307085fd2b5c49c968c323ee25d5 baby_forensics_2题目内容:电脑中正在运行的计算器的运行结果是多少? $ vol.py -f baby_forensics.raw --profile=Win7SP1x64 windows > windows 7598632541 baby_forensics_3题目内容:该内存文件中存在的flag值是多少? check() { pattern="flag|==|10210897103|666c6167|464C4147|Zmxh|Wm14aFoz|f|58s4vb|2uk2h3|key|pass|pwd|password|hint|U2FsdGVkX1" grep -irlE "$pattern" * | while read -r file; do echo -e "File: $file" strings "$file" | grep -iE "$pattern" echo -e "" done} $ check > check.txt 很多 PBE 的加密,我们一个一个试,差不多最后一个我成功解密了…U2FsdGVkX195MCsw0ANs6/Vkjibq89YlmnDdY/dCNKRkixvAP6+B5ImXr2VIqBSp94qfIcjQhDxPgr9G4u++pA== 密码在这个地方qwerasdf flag{ad9bca48-c7b0-4bd6-b6fb-aef90090bb98} 8.TP tcpdump_1题目内容:攻击者通过暴力破解进入了某Wiki 文档,请给出登录的用户名与密码,以:拼接,比如admin:admin 过滤器:http.request and http.request.uri contains "login" or http.response.code != 404 and frame.len != 237 返回200,明显和其他的不太一样 username=TMjpxFGQwD&password=123457 TMjpxFGQwD:123457 tcpdump_2题目内容:攻击者发现软件存在越权漏洞,请给出攻击者越权使用的cookie的内容的md5值。(32位小写) 常见Cookie就2个了,分别如下,试了一下就对了accessToken=f412d3a0378d42439ee016b06ef3330c; zyplayertoken=f412d3a0378d42439ee016b06ef3330cQzw=; userid=1 accessToken=f412d3a0378d42439ee016b06ef3330c; zyplayertoken=f412d3a0378d42439ee016b06ef3330cQzw=; userid=2 $ echo -n 'accessToken=f412d3a0378d42439ee016b06ef3330c; zyplayertoken=f412d3a0378d42439ee016b06ef3330cQzw=; userid=1'|md5sum|cut -d ' ' -f1 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CdpJhXMD-1693233178156)(images/image-20230826192329691.png)]383c74db4e32513daaa1eeb1726d7255 tcpdump_3题目内容:攻击使用jdbc漏洞读取了应用配置文件,给出配置中的数据库账号密码,以:拼接,比如root:123456 zyplayer:1234567 tcpdump_4题目内容:攻击者又使用了CVE漏洞攻击应用,执行系统命令,请给出此CVE编号以及远程EXP的文件名,使用:拼接,比如CVE-2020-19817:exp.so 根据jdbc的连接库发现是 postgresql ,查到最近的CVE对应的是 CVE-2022-21724 基本都是这个 xml 去攻击的,所以不用想了,就是这个CVE-2022-21724:custom.dtd.xml tcpdump_5题目内容:给出攻击者获取系统权限后,下载的工具的名称,比如nmap 慢慢翻,翻到了一个GitHub的链接,一看库名,大概率就是这个了 fscan 9.HD hacked_1题目内容:admIn用户的密码是什么? tcp56流 username=NQq5hKinIsaMmIZ7FCTC0Q%3d%3d&password=KGM7NI0/WvKswK%2bPlmFIhO4gqe8jJzRdOi02GQ0wZoo%3d flag{WelC0m5_TO_H3re} hacked_2题目内容:app.config['SECRET_KEY']值为多少? 直接搜secretContent-Type: text/html; charset=utf-8 Content-Length: 1214 Vary: Cookie Server: Werkzeug/2.0.2 Python/3.9.12 Date: Sat, 28 May 2022 12:02:51 GMT hello! <Config {'ENV': 'production', 'DEBUG': False, 'TESTING': False, 'PROPAGATE_EXCEPTIONS': None, 'PRESERVE_CONTEXT_ON_EXCEPTION': None, 'SECRET_KEY': 'ssti_flask_hsfvaldb', 'PERMANENT_SESSION_LIFETIME': datetime.timedelta(days=31), 'USE_X_SENDFILE': False, 'SERVER_NAME': None, 'APPLICATION_ROOT': '/', 'SESSION_COOKIE_NAME': 'session', 'SESSION_COOKIE_DOMAIN': False, 'SESSION_COOKIE_PATH': None, 'SESSION_COOKIE_HTTPONLY': True, 'SESSION_COOKIE_SECURE': False, 'SESSION_COOKIE_SAMESITE': None, 'SESSION_REFRESH_EACH_REQUEST': True, 'MAX_CONTENT_LENGTH': None, 'SEND_FILE_MAX_AGE_DEFAULT': None, 'TRAP_BAD_REQUEST_ERRORS': None, 'TRAP_HTTP_EXCEPTIONS': False, 'EXPLAIN_TEMPLATE_LOADING': False, 'PREFERRED_URL_SCHEME': 'http', 'JSON_AS_ASCII': True, 'JSON_SORT_KEYS': True, 'JSONIFY_PRETTYPRINT_REGULAR': False, 'JSONIFY_MIMETYPE': 'application/json', 'TEMPLATES_AUTO_RELOAD': None, 'MAX_COOKIE_SIZE': 4093}>··············· ssti_flask_hsfvaldb hacked_3题目内容:flask网站由哪个用户启动? tcp流76$python .\exp.py .eJwdx1EKwyAMANCrDEGiPz1Ar1KGZBi7gBpplH2Idy_d-3vTDKWrYiGzm2k5vZRUWeo2WsRObkLKeMKeuekoB4RwZvlg1hDg_S917lSeOhAFf0CTRvXp7ytYGPx2EUbnl7drWqqRk11m3cGmKw0.YpIQcw.J5vs8t8bAr0xDIxF6EqUAH2kkLE {'username': "{%if session.update({'flag':lipsum['__globals__']['__getitem__']('os')['popen']('whoami').read()})%}{%endif%}"} $ python .\exp.py .eJwdylsKAyEMQNGtFEGiUGYBs5VpkRQz04AvjNIPce-t_TyXO9QZ8FK7quQfSd1VF6oJI_3S0HzehEQ4p60Xj43MgPXDHrhIjwc4d4X8wiDOwfNPatwoLhrIAvaAkgulxc87Y2SwWyX0xk6r59CUPJ96qvkFHeUvmg.YpIQkg.65xf8l2g9fXAImkfyihId46KkY4 {'flag': 'red\n', 'username': "{%if session.update({'flag':lipsum['__globals__']['__getitem__']('os')['popen']('whoami').read()})%}{%endif%}"} red hacked_4题目内容:攻击者写入的内存马的路由名叫什么?(答案里不需要加/) 翻了一下就找到了,这个流Index 收藏(0)