前言
这次陇剑杯题目的质量真的很高(或者说一如既往的高),实在是太卷了,行业、科研、公安的队伍都太强了,有趣的是最后数了数发现只算高校的话竟然是前50,但随后又 发现社会队伍和高校一块排名。所以就,明年再战!
一、 战队信息
战队名称:T1173034
战队排名:382
二、 解题情况
三、 解题过程
SS - sevrer save_1
(上接第二部,从第二步开始)
查看/helloworld项目的依赖
发现spring4shell,于是查找相关资料
发现了CVE-2010-1622和CVE-2022-22965,尝试了第一个不对,答案为CVE-2022-22965
SS - sevrer save_2
下载附件,解压后得到一个流量包和一个linux磁盘文件,在根目录的helloworld文件夹下找到bbbb.sh查看内容
可以看到这是一条反弹shell的命令,所以就得到这一题的答案 192.168.43.128:2333
SS - sevrer save_3
在guests目录下发现elf文件main
尝试提交,答案正确 main
SS - sevrer save_4
(上接第二问)
题目问到新建的用户,于是去查看/etc的shadow和passwd
在shadow中发现guests用户密码 guest:123456
SS - sevrer save_5
(上接第二问)
Guests用户主目录下有.log.txt,猜测为日志文件,查看文件内容
查看日志发现有服务器的外网IP,提交答案 172.105.202.239
SS - sevrer save_6
(上接第七部),已经找到了挖矿木马,那释放的文件就是elf和sh脚本
即lolMiner和mine_doge.sh
lolMiner, mine_doge.sh
SS - sevrer save_7
(步骤接第二问)
随后查看/home目录,发现异常用户guests
查看该用户主目录文件
查看.idea文件夹
发现sh文件和elf文件,查看sh文件内容
发现为挖矿木马配置文件,得到本题答案 doge.millpools.cc:5567
SS - sevrer save_8
(步骤接上一问)
该配置文件中的WALLET即为钱包地址
最早尝试的DOGE:DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9.lolMinerWorker
结果发现不对,于是去掉了后面的.lolMineWorker,答案正确 DOGE:DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9
WS - sevrer save_1
下载附件为流量包,使用wireshark打开,分析流量
此处发现telnet,所以可以推测被侵入主机的内网IP为192.168.246.28
WS - sevrer save_2
telnet流量中记录了输入的密码,最早以为是假的,尝试后发现答案正确
youcannevergetthis
WS - sevrer save_3
由于是telnet流量,发现执行了ls命令
可见第二个文件夹为Downloads
WS - sevrer save_4
解上一步,下面是passwd文件的内容
可见倒数第二个用户为mysql用户
IR - IncidentResponse_1
解压提前下载好的附件,得到ova虚拟机模板文件
导入vmware workstation虚拟机
使用题目中给的用户名密码登录
经过查找文件,最终发现在/etc目录下redis文件夹修改日期最新,查看redis文件夹
发现不是真的redis,异常文件,查看conf为挖矿木马配置文件,故redis-server这个elf就是题目中要的文件,lujing:/etc/redis/redis-server
MD5编码后得到答案 6f72038a870f05cbf923633066e48881
WS - sevrer save_2
上一步找到/etc/redis,查看redis.conf
得到钱包地址donat.ev2.xmrig.com:3333,编码后得到答案
28b637fff2474fb15b90c701067ce42b
WS - sevrer save_4
查看虚拟机的/var/log/nginx/access.log访问日志
发现攻击者IP 81.70.166.3
按照题目要求md5编码后得到答案 c76b4b1a5e8c9e7751af4684c6a8b2c9
EW - ez_web_1
下载下来为流量包,于是wireshark分析流量
在流量包的最后发现d00r.php木马通信流量,在这些流量最前发现了通过ViewMore.php文件执行php函数创建木马,故服务器中原有的后门文件为ViewMore.php
ViewMore.php
EW - ez_web_2
在d00r.php的通信流量中发现执行了ipconfig
尝试 192.168.162.0/24段的IP不对,则内网IP段为192.168.101.0/24段,内网IP为:192.168.101.132
EW - ez_web_3
还是在d00r.php的木马通信流量最哦胡发现了body为PK开头,为压缩包,所以提取出来
发现需要密码,于是继续分析流量,还是再d00r.php通信的一系列数据包中发现cat了根目录下的passwd,尝试后成功解压
解压后得到key
7d9ddff2-2d67-4eba-9e48-691 26042337
TP - tcpdump_1
这道题给的流量包,浏览了一下大概就是按照时间排序,先爆破密码,随后拿到权限,这里问爆破得到的密码,就http.response.code == 200按照时间排序查看
这里有个坑就是最后的并不是爆破成功的,爆破成功后进程还在继续,通过查看包的长度
这里得到用户名:TMjpxFGOwD 密码:123457 TMjpxFGOwD:123457
TP - tcpdump_2
这里和爆破的逻辑是一样的,分析流量包就可以看到前面几个包都是权限不足,后来突然换一个200,这里就可以得知是越权成功了
看了下就是把userid=2改成1实现了水平越权,于是按照题目要求对cookie进行MD5编码
accessToken=f412d3a8378d42439ee816b06ef3338c;zyplayertoken=f412d3a0378d42439ee016b06ef3330cQzw=; userid=1
383C74db4e32513daaa1ee61726d7255
TP - tcpdump_4
经过流量包分析可以得到最后上传的文件为xustom.dtd.xml,现在就差CVE编号
于是上网查找相关特征,最终发现jdbc反序列化的比较相似
于是尝试CVE-2023-31058,结果不对,继续查找
再次尝试CVE-2022-21724,答案正确
TP - tcpdump_5
这一问其实没有很大的把握
这里本来没有头绪,主要看到有扫描行为,一般内网横向都用fscan扫描,就猜测是fscan,答案正确
HD – hacked_1
这里wireshark分析流量包,我追溯的第一个包就是一个html,看到了用户名密码是aes加密后传输的
这里就尝试了好多个Login的包,包括有aaa aaa,还有admin,admin123都不对,我甚至都怀疑是不是admin打错了,后来发现admIn的登录包
经过aes解密得到flag(这个是真-flag)
flag{WelC0m5_T0_H3re}
HD – hacked_2
我概述一下这里的逻辑,这个系统有ssti,注册用户登陆后,再username这个地方注入,这里查找流量包后有{{7*7}},最后找到读取配置文件的流量
使用了url实体编码
解码后得到SECRET_KEY:ssti_flask_hsfvaldb
HD – hacked_3
这里采用的是session注入,session的密钥上一步已经拿到了,于是就找流量使用flask_session_manager这个项目去解密,这里是通过sessionssti,重新set cookie,这里可以看到whoami执行的结果为red,所以flask就是red用户运行的
用户:red
HD – hacked_4
这一步其实都能猜到,这个题的逻辑基本路由就login、logout、register,就这一个Index,虽然后面看了流量,但可以猜出来就是
Index