admin管理员组文章数量:1603459
2021陇剑杯
全是流量分析。麻了。只做了一部分。
参考链接
陇剑杯 个人 ’WriteUp‘-魔法少女雪殇 (snowywar.top)
陇剑杯Writeup(部分) - 惊觉 (leheavengame)
1.签到
题目描述:
网关小王在上网途中发现自己的网络访问异常缓慢,于是对网络出口捕获了流量,请您分析流量后进行回答:
1.1:
#### 题目:
此时正在进行的可能是http 协议的网络攻击。(如有字母请全部使用小写,填写样例:http、dns、ftp)
#### 题解:
2.jwt
题目描述:
昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答:
2.1
题目 :
该网站使用了 ____** ** 认证方式(如有字母请全部使用小写)
题解:
jwt
2.2
题目:
黑客绕过验证使用的jwt中,id和username是____。
题解:
10087#admin
解析jwt的token如下
2.3
题目:
黑客获取webshell之后,权限是___
题解:
root
看流量,执行命令whoami。输出alert(‘root’),所以是root
2.4
题目:
黑客上传的恶意文件文件名是 ___。(请提交带有文件后缀的文件名,如x.txt)
题解:
/tem/1.c
继续分析流量,发现这里写入的文件是1.c
2.5
题目:
黑客在服务器上编译的恶意so文件,文件名是
题解:
looter.so
继续分析,解析编码,发现文件时looter.so
2.6
题目:
黑客在服务器上修改了一个配置文件,文件的绝对路径为____。(请确认绝对路径后再提交)
题解:
/etc/pam.d/common-auth
分析流量可以知道,最后的路径是/etc/pam.d/common-auth
3.webshell
题目详情:
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
3.1
题目:
黑客登录系统使用的密码是___。
题解:
Admin123!@#
由流量分析可知,登录密码是Admin123!@#。
使用http.request.method=="POST"来进行筛选
3.2
题目:
黑客修改了一个日志文件,文件的绝对路径为___。(请确认绝对路径后再提交)
题解:
/var/www/html/data/Runtime/Logs/Home/21_08_07.log
简单方法:分组字节流-搜索.log,再拼接根目录即可。
复杂点:
绝对路径分为两个部分,一个是网站根目录,一个是相对路径。又因所问为日志文件,所以只需要找到phpinfo(),查找根目录和日志文件拼接即可。
导出所有的HTTP对象,在index(34).php%3fm=home&a=assign_resume_tpl
文件中发现phpinfo页面,修改后缀为html。打开。
查找根目录
查找日志文件
拼接即是绝对路径。
3.3
题目:
黑客获取webshell之后,权限是
题解:
www-data
317这里执行了whoami命令
319这里有回包,显示是www-data
3.4
题目:
黑客写入的webshell文件名是
题解:
1.php
3.5
题目:
黑客上传的代理工具客户端名字是
版权声明:本文标题:2021陇剑杯部分wp 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/xitong/1728436064a1158125.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论