陇剑杯-1
煤矿路口西 Lv4

首届“陇剑杯”网络安全大赛-1


签到

1.1

拼手速,流量包里大部分是http流

1

答案:http

jwt

2.1

该网站使用了______认证方式。(如有字母请全部使用小写)

题目类型就叫jwt,所以盲猜一波jwt

答案:jwt

2.2

黑客绕过验证使用的jwt中,id和username是______。(中间使用#号隔开,例如1#admin)

随便追踪一个POST /exec 的流,将token中间base64解码,就得到了id和username

2

3

答案:10087#admin

2.3

黑客获取webshell之后,权限是______?

在NO.97文件流中,可以看到执行了whoami命令,得知权限为root

4

答案: root

2.4

黑客上传的恶意文件文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt)

在NO.103中,可知文件名是1.c

5

答案: 1.c

2.5

黑客在服务器上编译的恶意so文件,文件名是_____________。(请提交带有文件后缀的文件名,例如x.so)

已知恶意文件为.so文件,在POST /exec 的流中多次出现looter.so所以直接猜测恶意文件是looter.so

6

答案: looter.so

2.6

黑客在服务器上修改了一个配置文件,文件的绝对路径为_____________。(请确认绝对路径后再提交)

在NO.129位置的数据流中存在修改配置文件的命令

7

答案:/etc/pam.d/common-auth

webshell

3.1

黑客登录系统使用的密码是_____________。

过滤条件:http,因为是登录,所以直接搜login

8

9

url解码后得到密码

答案是:Admin123!@#

3.2

黑客修改了一个日志文件,文件的绝对路径为_____________。(请确认绝对路径后再提交)

在NO.345中,解码最后的一段L3Zhci93d3cvaHRtbC8%3D得到网站根目录路径/var/www/html

10

在Time为 251.837224 的数据流中,找到log文件data/Runtime/Logs/Home/21_08_07.log

11

拼接路径 /var/www/html/data/Runtime/Logs/Home/21_08_07.log

3.3

黑客获取webshell之后,权限是______?

在NO.317的数据流中,执行了whoami命令,可以得知权限为www-data

12

答案:www-data

3.4

黑客写入的webshell文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt)

用Wireshark分析数据,可以找到大量的 1.php数据,根据做题的经验和追踪流的情况,确定1.php就是写入的webshell文件

13

答案:1.php

3.5

黑客上传的代理工具客户端名字是_____________。(如有字母请全部使用小写)

过滤条件:http,时间排序倒序第一条,NO.1671的数据流

14

答案是:frpc

3.6

黑客代理工具的回连服务端IP是_____________。

一个一个翻到NO.343的数据流,将最下面的内容用hackbar Hex解码

15

16

答案是:192.168.239.123

3.7

黑客的socks5的连接账号、密码是______。(中间使用#号隔开,例如admin#passwd)

还是NO.343那条数据流,ip下面就是账号和密码

17

答案是:0HDFt16cLQJ#JTN276Gp

日志分析

4.1

网络存在源码泄漏,源码文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt)

搜索状态码为200的日志,发现www.zip,提交。

18

答案:www.zip

4.2

同样搜索200的日志,发现。

19

答案:sess_car

4.3

同样看200的日志,发现利用了SqlFileObject类

20

答案:SqlFileObject

流量分析

5.1

流量分析中并没有什么思路,于是想着从攻击流量的特征入手,经过wireshark的分析。大多流量的分布如下图所示。

21

22

23

24

25

但是唯有85号追踪流的分布与其他的完全不同,且比较均匀。攻击ip只有一个,于是猜测流量分布应该也与其他混淆流量不同,提交过后发现正确。

26

27

答案:172.18.0.125

  • 本文标题:陇剑杯-1
  • 本文作者:煤矿路口西
  • 创建时间:2021-09-14 10:44:51
  • 本文链接:http://www.mklkx.xyz/2021/09/14/陇剑杯-1/
  • 版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!