2023陇剑杯 | 风尘孤狼

风尘孤狼

知识型学习记录

0%

2023陇剑杯

发表于 更新于 分类于 阅读次数: Valine:
本文字数: 4.6k 阅读时长 ≈ 4 分钟
image-20230827133524905

SSW

SmallSword_1

导出HTTP对象的时候发现有sql注入的语句,猜测攻击手法是sql注入

image-20230827140152396

在这里发现了可疑的php文件

image-20230827140211607

追踪15340发现可控参数,也就是连接密码

image-20230827140234402

Flag:flag{0898e404bfabd0ebb702327b19f}

SmallSword_2

知道攻击手法,因为蚁剑连接的方式是POST

所以直接用语法搜索

http.request.method == “POST”

在24393组发现了base64加密的字符串

image-20230827140319456

Base64解码之后,发现有hacker.txt字样

image-20230827140334973

深入追踪此条流量,将下列部分进行url和base64解码

image-20230827140351687

0x72b3f341e432=D:/phpStudy/PHPTutorial/WWW/sqlii/Less-7/hacker.txt&0xe9bb136e8a5e9=HaloANT!&6ea280898e404bfabd0ebb702327b19f=@ini_set("display_errors","0");@set_time_limit(0);echo "->|";echo@fwrite(fopen(base64_decode($_POST["0x72b3f341e432"]),"w"),base64_decode($_POST["0xe9bb136e8a5e9"]))?"1":"0";;echo "|<-";die();

发现这是默认的创建文件的流量,而且文件内容默认为HaloANT!

接着往下进行流量分析

在24475组找到了与之对应的流量

image-20230827140436677

追踪流量

image-20230827140453715

解密之后得到

0x72b3f341e432=D:/phpStudy/PHPTutorial/WWW/sqlii/Less-7/hacker.txt&0xe9bb136e8a5e9=ad6269b7-3ce2-4ae8-b97f-f259515e7a91&6ea280898e404bfabd0ebb702327b19f=@ini_set("display_errors","0");@set_time_limit(0);echo"->|";echo@fwrite(fopen(base64_decode($_POST["0x72b3f341e432"]),"w"),base64_decode($_POST["0xe9bb136e8a5e9"]))?"1":"0";;echo "|<-";die();

可以看到此处写入的内容是

ad6269b7-3ce2-4ae8-b97f-f259515e7a91

所以flag为 flag{ad6269b7-3ce2-4ae8-b97f-f259515e7a91}

SmallSword_3

在16564组中发现了一个程序为huorong.exe

image-20230827140514544 image-20230827140529325

接下来将追踪到的exe下载到本地

image-20230827140558658

将所有内容复制放入010,因为exe文件头是4D5A,所以需要将前面的数字去掉

image-20230827140727822

运行之后得到一张名为test.jpg的图片

image-20230827140744296

发现图片的长宽有问题,拉到010里面发现是张png图片

对crc值进行脚本爆破

import os
import binascii
import struct

for i in range(20000):#一般 20000就够
    wide = struct.pack('>i',i)
    for j in range(20000):
        high = struct.pack('>i',j)
        data = b'\x49\x48\x44\x52' + wide+ high+b'\x08\x02\x00\x00\x00'
        #因为是 Py3,byte和str型不能直接进行运算,要写把 str写 b'...'。不然把 wide和 high写成 str(...)

        crc32 = binascii.crc32(data) & 0xffffffff
        if crc32 == 0x5ADB9644:  # 0x889C2F07是这个 png文件头的 CRC校验码,在 21~25byte处
            print('\n\n',i,j,crc32)   #0x 后的数字为十六进制中crc位置的代码(winhex左016,13-下一行的0)
            print(type(data))
            exit(0)
    print(i,end=' ')

运行得到结果

image-20230827140906421

进行16进制转换,得到301

image-20230827140920642 image-20230827140935514

得到flag:flag{8f0dffac-5801-44a9-bd49-e66192ce4f57}

WS

Wireshark1_1

过滤第一个tcp流量,发现Destination是VMware虚拟机

image-20230827140959547

其ip为192.168.246.28

Flag:flag{192.168.246.28}

Wireshark1_2

对tcp流量进行追踪,找到了被入侵主机的账户和密码

image-20230827141016742

所以口令是youcannevergetthis

Flag:flag{youcannevergetthis}

Wireshark1_3

追踪tcp流,找到了ls的命令,发现用户目录下第二个文件夹是Downloads

image-20230827141035296

Flag:flag{Downloads}

Wireshark1_4

在 ccaatt //eettcc//ppaasswwdd命令下面找到倒数第二个用户的用户名为mysql

image-20230827141050458

Flag:flag{mysql}

SS

sevrer save_1

image-20230827141104797

直接跟踪这个流,找到spring的特征poc

image-20230827141128728 image-20230827141145357

所以flag是CVE-2022-22965

sevrer save_2

跟踪流得到flag

image-20230827141201672

192.168.43.128:2333

sevrer save_3

解压do压缩包,home文件夹得到一个程序

image-20230827141215842

所以flag为main

sevrer save_4

IDA分析main病毒文件,反编译,猜测搜关键字符串passwd

image-20230827141238339

跟进得到用户和密码

image-20230827141256095

ll:123456

sevrer save_5

直接查看日志.log.txt得到外网IP

image-20230827141311672

172.105.202.239

sevrer save_6

猜测.idea里面的文件就是释放文件

image-20230827141331963

lolMiner,mine_doge.sh

sevrer save_7

查看mine_doge.sh得到矿池地址

image-20230827141344735

doge.millpools.cc:5567

sevrer save_8

同上,得到钱包地址

DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9.lolMinerWorker

IR

IncidentResponse_1

将镜像导入虚拟机,然后直接用volatility.exe分析vmdx即可

分析请求地址找到进程即可找到挖矿程序路径

得到挖矿程序所在路径 /etc/redis/redis-server

所以flag为6f72038a870f05cbf923633066e48881

IncidentResponse_2

同上,得到挖矿程序连接的矿池域名是 domain:donate.v2.xmrig.com

所以flag为3fca20bb92d0ed67714e68704a0a4503

IncidentResponse_3

登录虚拟机恢复之后查看WEB服务相关日志/home/app,分析发现存在JAVA服务,同时存在组件的shiro漏洞,全称为shirodeserialization

所以flag为3ee726cb32f87a15d22fe55fa04c4dcd

IncidentResponse_4

同上vol分析得到攻击者IP地址为81.70.166.3

所以flag为b2c5af8ce08753894540331e5a947d35

IncidentResponse_5

利用vol工具读取日志可以找到UA头,得到flag

6ba8458f11f4044cce7a621c085bb3c6

IncidentResponse_6

也是利用vol工具一把梭,得到ssh密钥路径/root/.ssh/authorized_keys

所以flag为a1fa1b5aeb1f97340032971c342c4258

IncidentResponse_7

查看自启动配置,得到一个假的redis配置,也就是入侵者创建的服务,路径为

/lib/systemd/system/redis.service

得到flag b2c5af8ce08753894540331ea947d35

EW

Ez_web1

发现直接写入了d00r.php利用的文件是ViewMore.php。

image-20230827141414379

Flag为:ViewMore.php

Ez_web2

追踪d00r.php的http流量,发现内网ip。

image-20230827141429663

Flag为:192.168.101.132

Ez_web3

将base64数据解码成压缩包,发现需要密码。

image-20230827141508530

在流量中发现了passwd。

image-20230827141527811

得到flag为:7d9ddff2-2d67-4eba-9e48-b91c26c42337

HD

HD1

发现回显是admin,所以对应的前边一个流量为admin账号密码登录。

image-20230827141549057 image-20230827141603318

之后Aes解密得到flag为:flag{WelC0m5_TO_H3re}

HD2

直接追踪tcp找到了key。

image-20230827141618133

Flag为:ssti_flask_hsfvaldb

HD3

image-20230827141633061

Flag为:red

HD4

image-20230827141648219

Flag值为:index

WEB

发现测试的日志:

image-20230827141704323

尝试后,首先发现了phpinfo泄露

image-20230827141719889

在ConfigPanel.php中发现了phpinfo(),直接把回显注释掉。

image-20230827141733030

这样就解决了phpinfo泄露。

Gii存在文件读取漏洞,再将gii给功能中的文件读取函数注释掉。

image-20230827141747287

然后覆盖,即可得到flag

image-20230827141804295

BF

baby_forensics_1

从内存镜像提取出bitlocker,解密镜像,然后得到key.txt

image-20230827141817619

Key进行了rot47加密,在线解密得到flag

image-20230827141828490

2e80307085fd2b5c49c968c323ee25d5

baby_forensics_2

从RAW载入图像截取计算器当前结果得到

image-20230827141840546

7598632541

TP

Tcpdump_3

在43504组里发现了jdbc漏洞

image-20230827141851840

用户名为zyplayer,密码为1234567

Flag:flag{zyplayer:1234567}

Tcpdump_4

在43551组里找到了一个本地的漏洞测试,上传了一个custom.dtd.xml

image-20230827142002354

经过搜索后发现,此漏洞是PostgreSQL JDBC Driver RCE,其编号为CVE-2022-21724

Flag:flag{ CVE-2022-21724:custom.dtd.xml}

Tcpdump_5

过滤tcp流,在43661组里面发现了fscan

image-20230827142016286

Flag:flag{fscan}

HW

HW1

分析流量发现,成功的包只有80,888,8888

所以flag为:80,888,8888

HW2

发现响应200

image-20230827142032341

发现flag位置,和加密方式。

image-20230827142047576 image-20230827142101518

AES解密得到flag

image-20230827142112568

HW3

对748007e861908c03进行md5解密

得到flag:14mk3y

制作不易,如若感觉写的不错,欢迎打赏