menu
ciaoℒy
某竞赛初赛的wp

access_time
brush 594个字
whatshot 173 ℃
百度收录:百度已收录

数据分析检测

收集信息如下:

身份證號:51********0728**10

md5:48ef223d1f70475f08e7206b9f36ed9d

直接hashcat爆破即可:

hashcat -a 3 -m 0 48ef223d1f70475f08e7206b9f36ed9d 51?d?d?d?d?d?d?d?d0728?d?d10

image-20231128145227854

flag{511421198307282710}

混淆流量分析

使用过滤器http.request.method == POST, 查看高危操作. 可以找到蚁剑的流量. 根据大小排序, 追踪流, 发现了如下字符串:

image-20231128145505935

synt是明显的凯撒加密, 用解密脚本破解即可:

caesar.ps1

image-20231128145808465-1701161156406-4

JSP后门排查

感觉根目录下的/tmp/config.sh很可疑, 因为权限是777. 原来是出题的文件:

image-20231128151123746

定位到了木马文件, 之后删除. 发现原来还有定时任务

得到flag:

Sqlserver异常日志分析

只有一个IP地址, 不可能是其他的了. 按照题目要求, "显示高级设置的命令"应该有个关键字"show". 直接搜索该关键字, 图中所示的英文与题目要求匹配, 提交即可:

image-20231128152214798

flag{192.168.0.152show_advanced_options}

个人

攻击IP地址

image-20231128084501631

flag{10.10.11.28}

Linux异常日志分析

image-20231128084743425

就找登录失败被系统封禁的IP, 逐个提交尝试, 第二个IP就是

flag{103.68.187.159}

Windows异常日志分析

建了一堆账户, 但是都给删除了. 唯独没删admin5

image-20231128085536239

查看登录成功的记录:

image-20231128085629745

其余的都是127.0.0.1, 只有这一个局域网IP

直接在powershell的日志里搜索ps1, 就得到了脚本名称:

image-20231128085801716

最终flag: flag{192.168.75.139admin5found.ps1}

防火墙日志分析

任意文件读取, 直接搜索关键字file

image-20231128090051570

flag{/etc/httpd/conf/httpd.conf}

Redis修复

ps -aux查看进程, 有一个redis, 猜测是redis无密码登录. 设置一下密码即可得到flag

image-20231128090240804

恶意脚本流量分析

直接用wireshark导出所有对象, 压缩包里就有sql文件:

image-20231128091630030

flag{wstmart}

主机漏洞隐患修复

查看docker容器的启动文件/run.sh(出题方竟然没有在dockerfile里删除这个文件, 真有意思)

image-20231128095313966

根据提示寻找三个程序的配置文件. 得到如下flag:

flag{ssh5101a52614b29+httpd101a52614b29f1}

把ssh和httpd的顺序调换一下就是最终flag

服务器后门排查

这道题要求使用私钥登录, 事出反常必有妖. 登录后首先查看authorized_keys, 果然有个hacker的密钥, 注释掉即可得到flag:

image-20231128100745218

异常工控流量分析

添加自定义字段data并按data排序, 得到部分flag:

image-20231128101034473

flag{??2c0163806149199f01431705cbe6??}

还有其余两个写操作: fd/5/1b

image-20231128101209091

根据地址:

起始地址 长度
0 38 flag{??2c0163806149199f01431705cbe6??}
5 2 1b
34 1 5
35 2 fd

拼接得到flag:

flag{1b2c0163806149199f01431705cbe5fd}

Webshell后门排查

登录后查看提示文件/restart.sh, 发现运行的程序是tomcat. 查看tomcat进程的启动参数, 得到web根目录:

image-20231128101707968

逐个查看jsp文件, 发现了木马文件controller.jsp. 删除掉即可(不能move, move不出flag, 我试过了)

image-20231128101827294

flag{e92f64d4-28b6-e3ab-6d05-65646ffb7cda}

#如无特别声明,该文章均为 ciaoℒy 原创,转载请遵循 署名-非商业性使用 4.0 国际(CC BY-NC 4.0) 协议,即转载请注明文章来源。
#最后编辑时间为: 2024 年 01 月 12 日


create 添加新评论


account_circle
email
language
textsms





关于 DreamCat

主题名称:DreamCat | 版本:2.10.230801_LTS

主题开发:HanFengA7 | TeddyNight | Dev-Leo | CornWorld | WhiteBearcn | DFFZMXJ

Designed by HanFengA7 Power by Typecho

Copyright © 2015-2024 by LychApe

加我的QQ
加我的微博
加我的支付宝
加我的微信