2023陇剑杯

SSW

SmallSword_1

导出HTTP对象的时候发现有sql注入的语句，猜测攻击手法是sql注入

在这里发现了可疑的php文件

追踪15340发现可控参数，也就是连接密码

Flag：flag{0898e404bfabd0ebb702327b19f}

SmallSword_2

知道攻击手法，因为蚁剑连接的方式是POST

所以直接用语法搜索

http.request.method == “POST”

在24393组发现了base64加密的字符串

Base64解码之后，发现有hacker.txt字样

深入追踪此条流量，将下列部分进行url和base64解码

0x72b3f341e432=D:/phpStudy/PHPTutorial/WWW/sqlii/Less-7/hacker.txt&0xe9bb136e8a5e9=HaloANT!&6ea280898e404bfabd0ebb702327b19f=@ini_set("display_errors","0");@set_time_limit(0);echo "->|";echo@fwrite(fopen(base64_decode($_POST["0x72b3f341e432"]),"w"),base64_decode($_POST["0xe9bb136e8a5e9"]))?"1":"0";;echo "|<-";die();

发现这是默认的创建文件的流量，而且文件内容默认为HaloANT!

接着往下进行流量分析

在24475组找到了与之对应的流量

追踪流量

解密之后得到

0x72b3f341e432=D:/phpStudy/PHPTutorial/WWW/sqlii/Less-7/hacker.txt&0xe9bb136e8a5e9=ad6269b7-3ce2-4ae8-b97f-f259515e7a91&6ea280898e404bfabd0ebb702327b19f=@ini_set("display_errors","0");@set_time_limit(0);echo"->|";echo@fwrite(fopen(base64_decode($_POST["0x72b3f341e432"]),"w"),base64_decode($_POST["0xe9bb136e8a5e9"]))?"1":"0";;echo "|<-";die();

可以看到此处写入的内容是

ad6269b7-3ce2-4ae8-b97f-f259515e7a91

所以flag为 flag{ad6269b7-3ce2-4ae8-b97f-f259515e7a91}

SmallSword_3

在16564组中发现了一个程序为huorong.exe

接下来将追踪到的exe下载到本地

将所有内容复制放入010，因为exe文件头是4D5A，所以需要将前面的数字去掉

运行之后得到一张名为test.jpg的图片

发现图片的长宽有问题，拉到010里面发现是张png图片

对crc值进行脚本爆破

import os
import binascii
import struct

for i in range(20000):#一般 20000就够
    wide = struct.pack('>i',i)
    for j in range(20000):
        high = struct.pack('>i',j)
        data = b'\x49\x48\x44\x52' + wide+ high+b'\x08\x02\x00\x00\x00'
        #因为是 Py3，byte和str型不能直接进行运算，要写把 str写 b'...'。不然把 wide和 high写成 str(...)

        crc32 = binascii.crc32(data) & 0xffffffff
        if crc32 == 0x5ADB9644:  # 0x889C2F07是这个 png文件头的 CRC校验码，在 21~25byte处
            print('\n\n',i,j,crc32)   #0x 后的数字为十六进制中crc位置的代码（winhex左016，13-下一行的0）
            print(type(data))
            exit(0)
    print(i,end=' ')

运行得到结果

进行16进制转换，得到301

得到flag：flag{8f0dffac-5801-44a9-bd49-e66192ce4f57}

WS

Wireshark1_1

过滤第一个tcp流量，发现Destination是VMware虚拟机

其ip为192.168.246.28

Flag：flag{192.168.246.28}

Wireshark1_2

对tcp流量进行追踪，找到了被入侵主机的账户和密码

所以口令是youcannevergetthis

Flag：flag{youcannevergetthis}

Wireshark1_3

追踪tcp流，找到了ls的命令，发现用户目录下第二个文件夹是Downloads

Flag：flag{Downloads}

Wireshark1_4

在 ccaatt //eettcc//ppaasswwdd命令下面找到倒数第二个用户的用户名为mysql

Flag：flag{mysql}

SS

sevrer save_1

直接跟踪这个流，找到spring的特征poc

所以flag是CVE-2022-22965

sevrer save_2

跟踪流得到flag

192.168.43.128:2333

sevrer save_3

解压do压缩包，home文件夹得到一个程序

所以flag为main

sevrer save_4

IDA分析main病毒文件，反编译，猜测搜关键字符串passwd

跟进得到用户和密码

ll:123456

sevrer save_5

直接查看日志.log.txt得到外网IP

172.105.202.239

sevrer save_6

猜测.idea里面的文件就是释放文件

lolMiner,mine_doge.sh

sevrer save_7

查看mine_doge.sh得到矿池地址

doge.millpools.cc:5567

sevrer save_8

同上，得到钱包地址

DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9.lolMinerWorker

IR

IncidentResponse_1

将镜像导入虚拟机，然后直接用volatility.exe分析vmdx即可

分析请求地址找到进程即可找到挖矿程序路径

得到挖矿程序所在路径 /etc/redis/redis-server

所以flag为6f72038a870f05cbf923633066e48881

IncidentResponse_2

同上，得到挖矿程序连接的矿池域名是 domain：donate.v2.xmrig.com

所以flag为3fca20bb92d0ed67714e68704a0a4503

IncidentResponse_3

登录虚拟机恢复之后查看WEB服务相关日志/home/app，分析发现存在JAVA服务，同时存在组件的shiro漏洞，全称为shirodeserialization

所以flag为3ee726cb32f87a15d22fe55fa04c4dcd

IncidentResponse_4

同上vol分析得到攻击者IP地址为81.70.166.3

所以flag为b2c5af8ce08753894540331e5a947d35

IncidentResponse_5

利用vol工具读取日志可以找到UA头，得到flag

6ba8458f11f4044cce7a621c085bb3c6

IncidentResponse_6

也是利用vol工具一把梭，得到ssh密钥路径/root/.ssh/authorized_keys

所以flag为a1fa1b5aeb1f97340032971c342c4258

IncidentResponse_7

查看自启动配置，得到一个假的redis配置，也就是入侵者创建的服务，路径为

/lib/systemd/system/redis.service

得到flag b2c5af8ce08753894540331ea947d35

EW

Ez_web1

发现直接写入了d00r.php利用的文件是ViewMore.php。

Flag为：ViewMore.php

Ez_web2

追踪d00r.php的http流量，发现内网ip。

Flag为：192.168.101.132

Ez_web3

将base64数据解码成压缩包，发现需要密码。

在流量中发现了passwd。

得到flag为：7d9ddff2-2d67-4eba-9e48-b91c26c42337

HD

HD1

发现回显是admin，所以对应的前边一个流量为admin账号密码登录。

之后Aes解密得到flag为：flag{WelC0m5_TO_H3re}

HD2

直接追踪tcp找到了key。

Flag为：ssti_flask_hsfvaldb

HD3

Flag为：red

HD4

Flag值为：index

WEB

发现测试的日志：

尝试后，首先发现了phpinfo泄露

在ConfigPanel.php中发现了phpinfo()，直接把回显注释掉。

这样就解决了phpinfo泄露。

Gii存在文件读取漏洞，再将gii给功能中的文件读取函数注释掉。

然后覆盖，即可得到flag

BF

baby_forensics_1

从内存镜像提取出bitlocker，解密镜像，然后得到key.txt

Key进行了rot47加密，在线解密得到flag

2e80307085fd2b5c49c968c323ee25d5

baby_forensics_2

从RAW载入图像截取计算器当前结果得到

7598632541

TP

Tcpdump_3

在43504组里发现了jdbc漏洞

用户名为zyplayer，密码为1234567

Flag：flag{zyplayer:1234567}

Tcpdump_4

在43551组里找到了一个本地的漏洞测试，上传了一个custom.dtd.xml

经过搜索后发现，此漏洞是PostgreSQL JDBC Driver RCE，其编号为CVE-2022-21724

Flag：flag{ CVE-2022-21724:custom.dtd.xml}

Tcpdump_5

过滤tcp流，在43661组里面发现了fscan

Flag：flag{fscan}

HW

HW1

分析流量发现，成功的包只有80,888,8888

所以flag为：80,888,8888

HW2

发现响应200

发现flag位置，和加密方式。

AES解密得到flag

HW3

对748007e861908c03进行md5解密

得到flag：14mk3y