特别特别特别奇怪的比赛,没有之一
倒是登顶过几分钟,哈哈
签到
1.1
下载,题目描述,http就完事了
JWT
2.1
题目本身就是jwt描述,那就直接填jwt
2.2
找到执行命令的token,就发现是这个了
10087#admin
2.3
whoami执行后回包root
2.4
追踪流,写入了1.c
2.5
解析编码, 是looter.so
2.6
/etc/pam.d/common-auth
日志分析
4.1
常规备份,www.zip
4.2
两个流,先写入
再写出,所以说sess_car
4.3
反序列化
看到使用了SplFileObject类
内存分析
6.1
vol直接mimikatz一把梭就出来了
W31C0M3 T0 THiS 34SY F0R3NSiCX
6.2
vol发现镜像有个文件
exe导出后是个自动解压的,获得文件夹
华为的备份加密,工具一把梭
https://github.com/RealityNet/kobackupdec
python .\kobackupdec.py -vvv W31C0M3_T0_THiS_34SY_F0R3NSiCX “C:\Users\Snowywar\Desktop\HUAWEI P40_2021-aa-bb xx.yy.zz” ./HUAWEI
简单日志分析
7.1
user传参,就是user
7.2
base64
7.3
同理,也是base64
192.168.2.197:8888
SQL注入
8.1
payload为1%20and%20if(substr(database(),1,1)%20=%20’%C2%80′,1,(select%20table_name%20from%20information_schema.tables))
很明显的布尔盲注了
8.2
其中一个payload为:?id=1%20and%20if(substr((select%20flag%20from%20sqli.flag),1,1)%20=%20’%C2%80′,1,(select%20table_name%20from%20information_schema.tables))
得库名 表名 列明名分别为sqli#flag#flag
8.3
老套路了,直接拉到最后,数就完了,举一个例子就行了,以此类推
flag{deddcd67-bcfd-487e-b940-1217e668c7db}
wifi
9.1
vol内存取证,直接找zip,找到个奇怪的
导出,发现需要密码,
老考点了
花括号以内加花括号是密码,解压后获得xml,xml获得密码
对加密的客户端流量进行解密,即可
随后进入流量分析环节。
首先分析服务器流量,直接看http
这是哥斯拉shell的初始化
我们解密得到加密函数和key
function encode($D,$K){
for($i=0;$i<strlen($D);$i++) {
$c = $K[$i+1&15];
$D[$i] = $D[$i]^$c;
}
return $D;
}
$pass='key';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
加密函数也是解密函数
分析客户端流量的回显
去掉前面的16位和后面的16位 得到
fL1tMGI4YTljMn75e3jOBS5/V31Qd1NxKQMCe3h4KwFQfVAEVworCi0FfgB+BlWZhjRlQuTIIB5jMTU=
哥斯拉输出结果是会将结果压缩然后加密
$result=gzencode($result,6);
echo base64_encode(encode(@run($data),$key));
然后进行解密
function encode($D,$K){
for($i=0;$i<strlen($D);$i++) {
$c = $K[$i+1&15];
$D[$i] = $D[$i]^$c;
}
return $D;
}
$a= 'fL1tMGI4YTljMn75e3jOBS5/V31Qd1NxKQMCe3h4KwFQfVAEVworCi0FfgB+BlWZhjRlQuTIIB5jMTU=';
echo gzdecode(encode(base64_decode($a),'3c6e0b8a9c15224a'));
得到flag
flag{5db5b7b0bb74babb66e1522f3a6b1b12}
IOS
10.1
嗯,简单
答案就是3.128.156.159
10.2
访问url,获得项目名,提交即可
10.3
调用处的hack4sec即为密文
10.4
这里需要先对TLS数据流进行解密
首选项,TLS 选择keylog.txt
数据流过滤为http2,然后对数据流进行盲注分析(这里我进行了导出并进行了urldecode)
这个题跟上面的日志分析一样,最后hex转一下就可以了
746558f3-c841-456b-85d7-d6c0f2edabb2
10.5
tcpdump -n -r triffic.pcap | awk ‘{print $3}’ | sort -u > ou1t.txt
将数据流dump出来,观察被扫描的端口位置,从10开始到499,直接观察数据包也一样。
10-499
同理,SYN标识被扫描,ACK表示存活。
10.7
access.log很明显的
172.28.0.2为已被攻击,结合上题被疯狂扫描,认为是192.168.1.12
所以答案为172.28.0.2#192.168.1.12
10.8
查看日志
很明显webshell特征
所以密码为fxxk
- 最新
- 最热
只看作者