前言

这次陇剑杯题目的质量真的很高(或者说一如既往的高),实在是太卷了,行业、科研、公安的队伍都太强了,有趣的是最后数了数发现只算高校的话竟然是前50,但随后又 发现社会队伍和高校一块排名。所以就,明年再战!

一、  战队信息

战队名称:T1173034

战队排名:382

二、  解题情况

三、  解题过程

SS - sevrer save_1

(上接第二部,从第二步开始)

查看/helloworld项目的依赖

发现spring4shell,于是查找相关资料

发现了CVE-2010-1622和CVE-2022-22965,尝试了第一个不对,答案为CVE-2022-22965

SS - sevrer save_2

下载附件,解压后得到一个流量包和一个linux磁盘文件,在根目录的helloworld文件夹下找到bbbb.sh查看内容

可以看到这是一条反弹shell的命令,所以就得到这一题的答案 192.168.43.128:2333

SS - sevrer save_3

在guests目录下发现elf文件main

尝试提交,答案正确 main

SS - sevrer save_4

(上接第二问)

题目问到新建的用户,于是去查看/etc的shadow和passwd

在shadow中发现guests用户密码 guest:123456

SS - sevrer save_5

(上接第二问)

Guests用户主目录下有.log.txt,猜测为日志文件,查看文件内容

查看日志发现有服务器的外网IP,提交答案 172.105.202.239

SS - sevrer save_6

(上接第七部),已经找到了挖矿木马,那释放的文件就是elf和sh脚本

即lolMiner和mine_doge.sh

lolMiner, mine_doge.sh

SS - sevrer save_7

(步骤接第二问)

随后查看/home目录,发现异常用户guests

查看该用户主目录文件

查看.idea文件夹

发现sh文件和elf文件,查看sh文件内容

发现为挖矿木马配置文件,得到本题答案 doge.millpools.cc:5567

SS - sevrer save_8

(步骤接上一问)

该配置文件中的WALLET即为钱包地址

最早尝试的DOGE:DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9.lolMinerWorker

结果发现不对,于是去掉了后面的.lolMineWorker,答案正确 DOGE:DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9

WS - sevrer save_1

下载附件为流量包,使用wireshark打开,分析流量

此处发现telnet,所以可以推测被侵入主机的内网IP为192.168.246.28

WS - sevrer save_2

telnet流量中记录了输入的密码,最早以为是假的,尝试后发现答案正确

youcannevergetthis

WS - sevrer save_3

由于是telnet流量,发现执行了ls命令

可见第二个文件夹为Downloads

WS - sevrer save_4

解上一步,下面是passwd文件的内容

可见倒数第二个用户为mysql用户

IR - IncidentResponse_1

解压提前下载好的附件,得到ova虚拟机模板文件

导入vmware workstation虚拟机

使用题目中给的用户名密码登录

经过查找文件,最终发现在/etc目录下redis文件夹修改日期最新,查看redis文件夹

发现不是真的redis,异常文件,查看conf为挖矿木马配置文件,故redis-server这个elf就是题目中要的文件,lujing:/etc/redis/redis-server

MD5编码后得到答案 6f72038a870f05cbf923633066e48881

WS - sevrer save_2

上一步找到/etc/redis,查看redis.conf

得到钱包地址donat.ev2.xmrig.com:3333,编码后得到答案

28b637fff2474fb15b90c701067ce42b

WS - sevrer save_4

查看虚拟机的/var/log/nginx/access.log访问日志

发现攻击者IP 81.70.166.3

按照题目要求md5编码后得到答案 c76b4b1a5e8c9e7751af4684c6a8b2c9

EW - ez_web_1

下载下来为流量包,于是wireshark分析流量

在流量包的最后发现d00r.php木马通信流量,在这些流量最前发现了通过ViewMore.php文件执行php函数创建木马,故服务器中原有的后门文件为ViewMore.php

ViewMore.php

EW - ez_web_2

在d00r.php的通信流量中发现执行了ipconfig

尝试 192.168.162.0/24段的IP不对,则内网IP段为192.168.101.0/24段,内网IP为:192.168.101.132

EW - ez_web_3

还是在d00r.php的木马通信流量最哦胡发现了body为PK开头,为压缩包,所以提取出来

发现需要密码,于是继续分析流量,还是再d00r.php通信的一系列数据包中发现cat了根目录下的passwd,尝试后成功解压

解压后得到key

7d9ddff2-2d67-4eba-9e48-691 26042337

TP - tcpdump_1

这道题给的流量包,浏览了一下大概就是按照时间排序,先爆破密码,随后拿到权限,这里问爆破得到的密码,就http.response.code == 200按照时间排序查看

这里有个坑就是最后的并不是爆破成功的,爆破成功后进程还在继续,通过查看包的长度

这里得到用户名:TMjpxFGOwD 密码:123457 TMjpxFGOwD:123457

TP - tcpdump_2

这里和爆破的逻辑是一样的,分析流量包就可以看到前面几个包都是权限不足,后来突然换一个200,这里就可以得知是越权成功了

看了下就是把userid=2改成1实现了水平越权,于是按照题目要求对cookie进行MD5编码

accessToken=f412d3a8378d42439ee816b06ef3338c;zyplayertoken=f412d3a0378d42439ee016b06ef3330cQzw=; userid=1

383C74db4e32513daaa1ee61726d7255

TP - tcpdump_4

经过流量包分析可以得到最后上传的文件为xustom.dtd.xml,现在就差CVE编号

于是上网查找相关特征,最终发现jdbc反序列化的比较相似

于是尝试CVE-2023-31058,结果不对,继续查找

再次尝试CVE-2022-21724,答案正确

TP - tcpdump_5

这一问其实没有很大的把握

这里本来没有头绪,主要看到有扫描行为,一般内网横向都用fscan扫描,就猜测是fscan,答案正确

HD – hacked_1

这里wireshark分析流量包,我追溯的第一个包就是一个html,看到了用户名密码是aes加密后传输的

这里就尝试了好多个Login的包,包括有aaa aaa,还有admin,admin123都不对,我甚至都怀疑是不是admin打错了,后来发现admIn的登录包

经过aes解密得到flag(这个是真-flag)

flag{WelC0m5_T0_H3re}

HD – hacked_2

我概述一下这里的逻辑,这个系统有ssti,注册用户登陆后,再username这个地方注入,这里查找流量包后有{{7*7}},最后找到读取配置文件的流量

使用了url实体编码

解码后得到SECRET_KEY:ssti_flask_hsfvaldb

HD – hacked_3

这里采用的是session注入,session的密钥上一步已经拿到了,于是就找流量使用flask_session_manager这个项目去解密,这里是通过sessionssti,重新set cookie,这里可以看到whoami执行的结果为red,所以flask就是red用户运行的

用户:red

HD – hacked_4

这一步其实都能猜到,这个题的逻辑基本路由就login、logout、register,就这一个Index,虽然后面看了流量,但可以猜出来就是

Index

届ける言葉を今は育ててる
最后更新于 2023-08-27