特别特别特别奇怪的比赛，没有之一

倒是登顶过几分钟，哈哈

签到

1.1

下载，题目描述，http就完事了

JWT

2.1

题目本身就是jwt描述，那就直接填jwt

2.2

找到执行命令的token，就发现是这个了

10087#admin

2.3

whoami执行后回包root

2.4

追踪流，写入了1.c

2.5

解析编码，是looter.so

2.6

/etc/pam.d/common-auth

日志分析

4.1

常规备份，www.zip

4.2

两个流，先写入

再写出，所以说sess_car

4.3

反序列化

看到使用了SplFileObject类

内存分析

6.1

vol直接mimikatz一把梭就出来了

W31C0M3 T0 THiS 34SY F0R3NSiCX

6.2

vol发现镜像有个文件

exe导出后是个自动解压的，获得文件夹

华为的备份加密，工具一把梭

https://github.com/RealityNet/kobackupdec

python .\kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX “C:\Users\Snowywar\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz” ./HUAWEI

简单日志分析

7.1

user传参，就是user

7.2

base64

7.3

同理，也是base64

192.168.2.197:8888

SQL注入

8.1

payload为1%20and%20if(substr(database(),1,1)%20=%20’%C2%80′,1,(select%20table_name%20from%20information_schema.tables))

很明显的布尔盲注了

8.2

其中一个payload为：?id=1%20and%20if(substr((select%20flag%20from%20sqli.flag),1,1)%20=%20’%C2%80′,1,(select%20table_name%20from%20information_schema.tables))

得库名表名列明名分别为sqli#flag#flag

8.3

老套路了，直接拉到最后，数就完了，举一个例子就行了，以此类推

flag{deddcd67-bcfd-487e-b940-1217e668c7db}

wifi

9.1

vol内存取证，直接找zip，找到个奇怪的

导出，发现需要密码，

老考点了

花括号以内加花括号是密码，解压后获得xml，xml获得密码

对加密的客户端流量进行解密，即可

随后进入流量分析环节。

首先分析服务器流量，直接看http

这是哥斯拉shell的初始化

我们解密得到加密函数和key

function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='key';
$payloadName='payload';
$key='3c6e0b8a9c15224a';

加密函数也是解密函数

分析客户端流量的回显

去掉前面的16位和后面的16位得到

fL1tMGI4YTljMn75e3jOBS5/V31Qd1NxKQMCe3h4KwFQfVAEVworCi0FfgB+BlWZhjRlQuTIIB5jMTU=

哥斯拉输出结果是会将结果压缩然后加密

 $result=gzencode($result,6);
 echo base64_encode(encode(@run($data),$key));

然后进行解密

function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$a= 'fL1tMGI4YTljMn75e3jOBS5/V31Qd1NxKQMCe3h4KwFQfVAEVworCi0FfgB+BlWZhjRlQuTIIB5jMTU=';
echo gzdecode(encode(base64_decode($a),'3c6e0b8a9c15224a'));

得到flag

flag{5db5b7b0bb74babb66e1522f3a6b1b12}