menu
ciaoℒy
上海市技能竞赛

access_time
brush 725个字
whatshot 175 ℃
百度收录:百度已收录

题目附件, 解压密码是: K2R4OC0rWndrLStkY1UtK2E5SS0raS9jLStiT2ctK1lROC0r

题目书: 题目书.pdf

第一部分: 网络安全防护

平台没设置防爆破, 其实直接爆破就行. 唉, 太老实了

前端服务器检查

flag{015679}

image-20240104123255852

01如图中标黄所示;

3其实也没设置, 但是提交flag试出来却是正确的;

5是提交flag试出来的;

6: export命令没有TMOUT变量;

7: 执行history命令发现完全不符合加固要求;

9: 读/etc/vsftpd.conf的配置文件, 似乎是开了log; 但是直接cat /var/log/vsftpd发现不存在该文件, 应该是没开的.

image-20240104123656253

数据库服务器检查

flag{0134579}

image-20240104124457843

0: 不确定. 按理说0应该是正确的才对? 见上述截图和后续的附图

1: 查看权限如上所示, 和题目要求不符;

3: 使用命令mount | grep vdb没有输出; umount /mnt无法卸载, 说明挂载不正确;

5: crontab -l, 可以看到是三个*, 说明不是每日备份而是每月备份;

7: cat ~/.ssh/auth*可以看到未正确配置公钥(把私钥弄进去了)

9: cat /etc/debian_version可以看到是12.4

关于0, 这里感觉0应该是正确的:

image-20240104143129534

Windows检查

不知道, 没做出来

image-20240104144823288

image-20240104114257821

image-20240104115333545

第二部分: xxx

气死了, 没有的客户端怎么连? 配了半天l2tp就是连不上, 气死了.

第三部分: 网络安全处置

恶意样本分析

image-20240104112119017

ida8.3打开就是, flag是上图中标黄的内容

Linux 后门分析

病毒是个多进程的程序, 运行后主进程会退出, 使用proxychains不能有效追踪. 改用用命令strace可以查看系统调用

strace -o out.log -f ./4ac7321fe33c604bf143e656046b3663

image-20240104103831472

勒索程序分析

IDA看了下, 链接是在data端的字符串里的. 所以直接记事本打开, 按照题目提示查找关键词"http"和"pem格式公钥的特征"-----BEGIN RSA PUBLIC KEY-----"即可找到前两题的flag:

image-20240104132507316

image-20240104104206608

第三题需要静态分析. 符号表保留的很好, 有一个encrypt函数, 在里面有加密分块的大小:

image-20240104111938066

社工钓鱼分析(文档类)

首先不是dotm先不考虑宏病毒. 不打开文件, 先解压看看.

image-20240104104806166

这个在去年hw的时候还发过预警, 当时群里到处传. 在固定路径里找到上述文件即可

参考: CVE-2022-30190 Follina Office RCE分析【附自定义word钓鱼模板POC】 - komomon - 博客园 (cnblogs.com)

社工钓鱼分析(PE 类)

据说这个真的是个病毒

先清空dnspy里面打开的程序集, 之后用dnspy32打开, 查看其引用的包和类. 发现有WebResponseWebRequest . 查看其被使用的记录, 可以看到如下代码是检测网络连接的, 得到url是https://google.com

image-20240111114339121

右键编辑方法, 打一个patch, 让他跳过联网检测:

image-20240104111550983

右键分析, 找到调用上述方法的地方:

image-20240111114527582

根据题目提示, array大概率是密钥. 之后追踪该数组的赋值, 发现在这个地方可以取其最终值, 打一个断点,

image-20240104111442382

继续单步调试获取到内存中的dll信息:

image-20240104111640214

flag{ArgenTINA.dll}

flag{0x264C7298BEE400000000000000000000}

将patch过的木马放到虚拟机里运行, 杀毒软件给出了木马的文件名:

image-20240104113108975

#如无特别声明,该文章均为 ciaoℒy 原创,转载请遵循 署名-非商业性使用 4.0 国际(CC BY-NC 4.0) 协议,即转载请注明文章来源。
#最后编辑时间为: 2024 年 01 月 11 日


create 添加新评论


account_circle
email
language
textsms





关于 DreamCat

主题名称:DreamCat | 版本:2.10.230801_LTS

主题开发:HanFengA7 | TeddyNight | Dev-Leo | CornWorld | WhiteBearcn | DFFZMXJ

Designed by HanFengA7 Power by Typecho

Copyright © 2015-2024 by LychApe

加我的QQ
加我的微博
加我的支付宝
加我的微信