2021年陇剑杯线上赛


写在前面
这次的比赛真不愧是对口举办的比赛,基本上就是电子取证的方向,可以说是学到了一些东西

01 签到

题目内容

网管小王在上网途中发现自己的网络访问异常缓慢,于是对网络出口捕获了流量,请您分析流量后进行回答:(本题仅1小问)

此时正在进行的可能是_____http_____协议的网络攻击。(如有字母请全部使用小写,填写样例:http、dns、ftp)

解题过程

打开流量文件,发现大量403,于是获取题目答案http
20210922170316

02 JWT

昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答

2.1 题目内容

该网站使用了__jwt____ 认证方式。

2.2 题目内容

黑客绕过验证使用的jwt中,id和username是__10087#admin____ 。(中间使用#号隔开,例如1#admin)

解题过程

获取可执行命令的jwt:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODcsIk1hcENsYWltcyI6eyJ1c2VybmFtZSI6ImFkbWluIn19.rurQD5RYgMrFZow8r-k7KCP13P32sF-RpTXhKsxzvD0
20210922171714
解码获取id和username:

[01签到] basecrack -b 'eyJpZCI6MTAwODcsIk1hcENsYWltcyI6eyJ1c2VybmFtZSI6ImFkbWluIn19'

		python basecrack.py -h [FOR HELP]

[-] Encoded Base: eyJpZCI6MTAwODcsIk1hcENsYWltcyI6eyJ1c2VybmFtZSI6ImFkbWluIn19

[>] Decoding as Base64: {"id":10087,"MapClaims":{"username":"admin"}}

[-] The Encoding Scheme Is Base64

2.3 题目内容

黑客获取webshell之后,权限是__root____ ?
20210922172216

2.4 题目内容

黑客上传的恶意文件文件名是____1.c_________。(请提交带有文件后缀的文件名,例如x.txt)

20210922174005

2.5 题目内容

黑客在服务器上编译的恶意so文件,文件名是_____looter.so________。(请提交带有文件后缀的文件名,例如x.so)

20210923094304

2.6 题目内容

黑客在服务器上修改了一个配置文件,文件的绝对路径为______/etc/pam.d/common-auth_______。(请确认绝对路径后再提交)
20210923094335

03 webshell

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答

3.1 题目内容

黑客登录系统使用的密码是_____Admin123!@#____ ____。
20210923094751

3.2 题目内容

黑客修改了一个日志文件,文件的绝对路径为_____ /var/www/html/data/Runtime/Logs/Home/21_08_07.log__ ______。(请确认绝对路径后再提交)

20210923095057

3.3 题目内容

黑客获取webshell之后,权限是__ www-data__ __?
20210923095220

3.4 题目内容

黑客写入的webshell文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt)
20210923100157

3.5 题目内容

黑客上传的代理工具客户端名字是____ frpc_________。(如有字母请全部使用小写)

3.6&3.7 题目内容

20210923100422

这里注意观察数据包,可以发现在这条注入以后,目录文件多了一个frpc.ini,因此解码即可获取答案

3.6 黑客代理工具的回连服务端IP是____ 192.168.239.123_________。

3.7 黑客的socks5的连接账号、密码是__ 0HDFt16cLQJ#JTN276Gp____。(中间使用#号隔开,例如admin#passwd)

20210923100726

04 日志分析

单位某应用程序被攻击,请分析日志,进行作答:

4.1 题目内容

网络存在源码泄漏,源码文件名是____ www.zip_________。(请提交带有文件后缀的文件名,例如x.txt)
20210923101402

4.2 题目内容

分析攻击流量,黑客往/tmp目录写入一个文件,文件名为______ sess_car_______。

4.3 题目内容

分析攻击流量,黑客使用的是___ SplFileObject___类读取了秘密文件。
20210923101536

05 流量分析

某天晚上,X单位的网站被黑客入侵了,管理员从单位网络出口捕获采样流量,请您分析流量进行回答
这道题只是做个记录,暂时还搞不清远离,参考 YYK大佬的文章

20210923135705

5.1 题目内容

攻击者的IP是____ 172.18.0.125_________。

5.2 题目内容

攻击者所使用的会话密钥是______ DtX0GScM9dwrgZht_______。

5.3 题目内容

攻击者所控制的C&C服务器IP是____ 147.182.251.98_________。

06 内存分析

网管小王制作了一个虚拟机文件,让您来分析后作答:

6.1 题目内容

虚拟机的密码是____ flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}_________。(密码中为flag{xxxx},含有空格,提交时不要去掉)

解题过程

这里可以使用工具自带的lsadump也可以安装mimikatz插件获取

[06内存分析] volatility -f Target.vmem  --profile=Win7SP1x64 mimikatz
Volatility Foundation Volatility Framework 2.6.1
Module   User             Domain           Password
-------- ---------------- ---------------- ----------------------------------------
wdigest  CTF              WIN-QUN5RVOOF27  flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}
wdigest  WIN-QUN5RVOOF27$ WORKGROUP
[06内存分析] volatility -f Target.vmem  --profile=Win7SP1x64 lsadump
Volatility Foundation Volatility Framework 2.6.1
DefaultPassword
0x00000000  48 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   H...............
0x00000010  66 00 6c 00 61 00 67 00 7b 00 57 00 33 00 31 00   f.l.a.g.{.W.3.1.
0x00000020  43 00 30 00 4d 00 33 00 20 00 54 00 30 00 20 00   C.0.M.3...T.0...
0x00000030  54 00 48 00 69 00 53 00 20 00 33 00 34 00 53 00   T.H.i.S...3.4.S.
0x00000040  59 00 20 00 46 00 30 00 52 00 33 00 4e 00 53 00   Y...F.0.R.3.N.S.
0x00000050  69 00 43 00 58 00 7d 00 00 00 00 00 00 00 00 00   i.C.X.}.........

DPAPI_SYSTEM
0x00000000  2c 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ,...............
0x00000010  01 00 00 00 49 06 16 35 a7 90 b6 2a 53 69 03 27   ....I..5...*Si.'
0x00000020  b9 9a 60 9e 9a 15 90 37 7c cf 1d 3c f1 3f 60 05   ..`....7|..<.?`.
0x00000030  56 c1 59 68 53 9a dc e0 18 b3 55 ef 00 00 00 00   V.YhS.....U.....

6.2 题目内容

虚拟机中有一个某品牌手机的备份文件,文件里的图片里的字符串为______ flag{TH4NK Y0U FOR DECRYPTING MY DATA}_______。(解题过程中需要用到上一题答案中flag{}内的内容进行处理。本题的格式也是flag{xxx},含有空格,提交时不要去掉)

解题过程

volatility -f Target.vmem  --profile=Win7SP1x64 filescan |grep CTF
Volatility Foundation Volatility Framework 2.6.1

...
0x000000007fc68a10     16      0 -W-r-- \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz\info.xml
0x000000007fd3cf20      2      2 RW-rwd \Device\HarddiskVolume1\Users\CTF\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db
0x000000007fd3df20      2      2 RW-rwd \Device\HarddiskVolume1\Users\CTF\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
0x000000007fd3ef20      2      2 RW-rwd \Device\HarddiskVolume1\Users\CTF\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db
0x000000007fdc2700      2      2 RW-rwd \Device\HarddiskVolume1\Users\CTF\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db
0x000000007fe72070      1      1 RW-rwd \Device\HarddiskVolume1\Users\CTF\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db
0x000000007fe72430      2      0 -W-r-- \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz\picture\storage\MediaTar\images\images0.tar.enc
0x000000007feabbc0     16      0 -W-r-- \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz\picture.xml

这里使用filescan扫描CTF用户的文件,发现了华为P40的备份文件

volatility -f Target.vmem  --profile=Win7SP1x64 filescan |grep HUAWEI
Volatility Foundation Volatility Framework 2.6.1
0x000000007d8c7d10      4      0 R--r-d \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz.exe
0x000000007e164cc0     12      0 R--r-- \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz.exe
0x000000007e1e1ae0     16      0 R----- \Device\HarddiskVolume1\Windows\Prefetch\HUAWEI P40_2021-AA-BB XX.YY.Z-6DC73FF4.pf
0x000000007ee4d660      2      0 -W-r-- \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz\alarm.db
0x000000007fc68a10     16      0 -W-r-- \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz\info.xml
0x000000007fe72430      2      0 -W-r-- \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz\picture\storage\MediaTar\images\images0.tar.enc
0x000000007feabbc0     16      0 -W-r-- \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz\picture.xml
[06内存分析] volatility -f Target.vmem  --profile=Win7SP1x64 dumpfiles -Q 0x000000007d8c7d10 --dump-dir=./
Volatility Foundation Volatility Framework 2.6.1
ImageSectionObject 0x7d8c7d10   None   \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz.exe
DataSectionObject 0x7d8c7d10   None   \Device\HarddiskVolume1\Users\CTF\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz.exe

于是把华为备份文件dump出来,同时可以直接在dat文件里把备份文件夹解压出来,再利用工具 kobackupdec

python3 kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX HUAWEI\ P40_2021-aa-bb\ xx.yy.zz ./bb

即可获取flag
20210923152921

07简单的日志分析

某应用程序被攻击,请分析日志后作答

7.1 题目内容

黑客攻击的参数是___ whoami___。(如有字母请全部使用小写)
20210923155214

7.2 题目内容

黑客查看的秘密文件的绝对路径是______ /Th4s_IS_VERY_Import_Fi1e_______。
20210923155120

7.3 题目内容

黑客反弹shell的ip和端口是____ 192.168.2.197:8888_________。(格式使用“ip:端口”,例如127.0.0.1:2333)
20210923155338

08SQL注入

8.1 题目内容

黑客在注入过程中采用的注入手法叫______ 布尔盲注_______。(格式为4个汉字,例如“拼搏努力”)

8.2 题目内容

黑客在注入过程中,最终获取flag的数据库名、表名和字段名是_____ sqli#flag#flag________。(格式为“数据库名#表名#字段名”,例如database#table#column)

直接看最后注flag就能获取

8.3 题目内容

黑客最后获取到的flag字符串为_____ flag{deddcd67-bcfd-487e-b940-1217e668c7db}________。

解题过程

# -*- coding: utf-8 -*-
with open('flag.txt', 'r') as f:
    s = f.readlines()

flag = ""
for i in range(len(s)):
    try:
        #print s[i][108]
        if (int(s[i][108])) <= 9:
            if (int(s[i+1][108])-int(s[i][108])) == 1:
                flag += s[i][116]
                print flag
        if (int(s[i][108:110])) > 9:
            if (int(s[i+1][108:110])-int(s[i][108:110])) == 1:
                flag += s[i][117]
                print flag
    except Exception as e:
        pass

print flag.replace('\'', '')


#flag{dedcd67-bcfd-487e-b940-1217e668c7db}

09 wifi

网管小王最近喜欢上了ctf网络安全竞赛,他使用“哥斯拉”木马来玩玩upload-labs,并且保存了内存镜像、wifi流量和服务器流量,让您来分析后作答:(本题仅1小问)

题目内容

小王往upload-labs上传木马后进行了cat /flag,flag内容为_____ flag{5db5b7b0bb74babb66e1522f3a6b1b12}________。(压缩包里有解压密码的提示,需要额外添加花括号)

解题过程

分析 服务端.pcapng获取1.php
20210923170651

打开 客户端.cap发现是加密的Wi-Fi包
20210923170911

对内存进行分析(看桌面,看admin,意外发现Mywifi.zip)
iShot2021-09-24 09.30.52
这里就需要一个前置知识了

网卡的 GUID 和接口绑定是绑定的,win7的wifi密码就存放在c:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces[网卡Guid]中

如果不知道这里,其实也可以使用命令:

getmac /V /S 127.0.0.1 

然后再everything搜索一下
因此这里直接搜索Interface
iShot2021-09-24 09.30.34

解压之后回去xml,里面存在wifi的信息

<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
	<name>My_Wifi</name>
	<SSIDConfig>
		<SSID>
			<hex>4D795F57696669</hex>
			<name>My_Wifi</name>
		</SSID>
	</SSIDConfig>
	<connectionType>ESS</connectionType>
	<connectionMode>auto</connectionMode>
	<MSM>
		<security>
			<authEncryption>
				<authentication>WPA2PSK</authentication>
				<encryption>AES</encryption>
				<useOneX>false</useOneX>
			</authEncryption>
			<sharedKey>
				<keyType>passPhrase</keyType>
				<protected>false</protected>
				<keyMaterial>233@114514_qwe</keyMaterial>
			</sharedKey>
		</security>
	</MSM>
</WLANProfile>

因此可以解密wifi流量
20210924103208

这里也可以使用如下命令

airdecap-ng -e My_Wifi -p 233@114514_qwe  客户端.cap

解密后可以获取加密返回的信息,到这里基础信息收集完毕了,剩下的就是解密流量了,参考文章:

20210924114920
根据上面的文章可以知道(对于PHP_XOR_BASE64加密方式来说,前后各附加了16位的混淆字符),所以我们拿到的流量要先删除前16位和后16位字符,同时Godzilla的流量还会进行一个gzip压缩,因此最外层还要用gzdecode进行一次解码。
最终解密1198号数据包的时候获取flag

20210924103539

<?php
function encode($D,$K){
	for($i=0;$i<strlen($D);$i++){
		$c = $K[$i+1&15];
		$D[$i] = $D[$i]^$c;
	}
	return $D;
}
 
$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
echo gzdecode(encode(base64_decode('fL1tMGI4YTljMn75e3jOBS5/V31Qd1NxKQMCe3h4KwFQfVAEVworCi0FfgB+BlWZhjRlQuTIIB5jMTU='),$key));
?>

5.x的环境中运行获取flag flag{5db5b7b0bb74babb66e1522f3a6b1b12}

最后提供一个非常大神的解决方案,自己用同样的木马连接一下,然后改返回包就行了
20210924114705

10 ios

一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币若干,请你通过流量和日志分析后作答

10.1 题目内容

黑客所控制的C&C服务器IP是______ 3.128.156.159_______。
20210924115854

10.2 题目内容

黑客利用的Github开源项目的名字是__ stowaway____。(如有字母请全部使用小写)
20210924134819

10.3 题目内容

通讯加密密钥的明文是_____ hack4sec_______。
20210924140128

10.4 题目内容

黑客通过SQL盲注拿到了一个敏感数据,内容是_____ flag{746558f3-c841-456b-85d7-d6c0f2edabb2}_______。

解题过程

首先把TLS流量解密
20210924140929
按照协议进行排序,发现盲注的流量出现了http2的协议部分
20210924141447

导出数据为csv格式
20210924163926
筛选出sql注入的流量
20210924164038
url解码并使用awk处理一下数据

awk '{print $2,$3}' sql.txt >sql1.txt

最终脚本获取flag

# -*- coding: utf-8 -*-
with open('sql1.txt', 'r') as f:
    s = f.readlines()

flag = ""
for i in range(len(s)):
    try:
        if (int(s[i][55])) < 9:
            if (int(s[i+1][55])-int(s[i][55])) == 1:
                flag += s[i][73:75].decode('hex')
                print flag
        if (int(s[i][55])) == 9:
            if (int(s[i+1][55:57])-int(s[i][55])) == 1:
                flag += s[i][73:75].decode('hex')
                print flag
    except Exception as e:
        pass
for i in range(len(s)):
    try:
        if (int(s[i][55:57])) > 9:
            if (int(s[i+1][55:57])-int(s[i][55:57])) == 1:
                flag += s[i][74:76].decode('hex')
                print flag
    except Exception as e:
        pass

print flag.replace('\'', '')

10.5 题目内容

黑客端口扫描的扫描器的扫描范围是_____ 10-499_______。(格式使用“开始端口-结束端口”,例如1-65535)

解题过程

找红色的,然后筛选一下获取端口扫描范围
20210924170843

10.6 题目内容

被害者手机上被拿走了的私钥文件内容是____________。

10.7 题目内容

黑客访问/攻击了内网的几个服务器,IP地址为____ 172.28.0.2#192.168.1.12________。(多个IP之间按从小到大排序,使用#来分隔,例如127.0.0.1#192.168.0.1)

解题过程

  • access.log发现被上传马的ip
  • 流量里发现sql注入的ip

10.8 题目内容

黑客写入了一个webshell,其密码为_____ fxxk_______。
20210924140216


文章作者: Secgxx
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Secgxx !
  目录