首屆“隴劍杯”網絡安全大賽TEOT戰隊WRITEUP

序章

Introduction

“沒有網絡安全就沒有國家安全”。2021年是中國共產黨成立100周年，也是“十四五”規劃開局之年，加快數字化發展，是建設社會主義現代化強國的基礎性先導性工作，是構筑數字化時代國家競爭新優勢的戰略選擇。《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》中提出要“以數字化轉型整體驅動生產方式、生活方式和治理方式變革”。在數字化的高速發展、新興技術的廣泛應用背景下，存在著大量的網絡安全風險及隱患，網絡安全已經成為影響經濟社會發展、國家長治久安和人民群眾利益福祉的重大戰略問題。

作為國家級網絡安全大賽，“隴劍杯”重點聚焦數字經濟時代下的網絡安全守護。大賽將立足“聯絡四域、襟帶萬里”的交通樞紐和軍事要塞甘肅蘭州，面向全國奏響“守護數字安全，構建清朗空間”主題進行曲，以實景防御、大數據分析、人工智能安全等綜合防御能力提升為目標，打造高規格、高標準、高水平的全國性網絡安全賽事活動，為數字化改革鍛造網絡安全人才，提升網絡安全實戰能力，護航數字生產力飛天，時代安全感落地，全面筑牢數字化發展安全基座。

正文

TEOT戰隊WRITEUP

一、戰隊信息

戰隊名稱：TEOT

戰隊排名：183

二、解題情況

三、解題過程

1.簽到題：

題目描述：網管小王在上網途中發現自己的網絡訪問異常緩慢，于是對網絡出口捕獲了流量，請您分析流量后進行回答：（本題僅1小問）

      1.1此時正在進行的可能是_____http_____協議的網絡攻擊。（如有字母請全部使用小寫，填寫樣例：http、dns、ftp）

2.jwt：

題目描述：昨天，單位流量系統捕獲了黑客攻擊流量，請您分析流量后進行回答：

      2.1該網站使用了___jwt___認證方式。（如有字母請全部使用小寫）

      2.2黑客繞過驗證使用的jwt中，id和username是_10087#admin_。（中間使用#號隔開，例如1#admin）

POST /exec HTTP/1.1

Host: 192.168.2.197:8081

Content-Length: 26

Cache-Control: max-age=0

Upgrade-Insecure-Requests: 1

Origin: http://192.168.2.197:8081

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

Referer: http://192.168.2.197:8081/exec

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: PHPSESSID=3f8coeg6hm9vf0h5lcoifmk8o5; token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODcsIk1hcENsYWltcyI6eyJ1c2VybmFtZSI6ImFkbWluIn19.rurQD5RYgMrFZow8r-k7KCP13P32sF-RpTXhKsxzvD0

Connection: close

command=cat%20/tmp/.looterHTTP/1.1 200 OK

Content-Type: text/html; charset=utf-8

Date: Sat, 07 Aug 2021 05:25:45 GMT

Content-Length: 453

Connection: close

  alert("Username rootPassword: flag{test_flag}Username rootPassword: flag{test_flag}Username rootPassword: flag{test_flag}Username rootPassword: flag{test_flag}Username rootPassword: flag{test_flag}")

 window.location.href="\/exec";

id值jwt 解密

      2.3黑客獲取webshell之后，權限是___root___？

      2.4黑客上傳的惡意文件文件名是__1.c__。(請提交帶有文件后綴的文件名，例如x.txt)

      2.5黑客在服務器上編譯的惡意so文件，文件名是__looter.so__。(請提交帶有文件后綴的文件名，例如x.so)

      2.6黑客在服務器上修改了一個配置文件，文件的絕對路徑為__/etc/pam.d/common-auth__。（請確認絕對路徑后再提交）

3.webshell

題目描述：單位網站被黑客掛馬，請您從流量中分析出webshell，進行回答：

      3.1黑客登錄系統使用的密碼是__Admin123!@#__。

      3.2黑客修改了一個日志文件，文件的絕對路徑為_/var/www/html/data/Runtime/Logs/Home/21_08_07.log__。（請確認絕對路徑后再提交）

      3.3黑客獲取webshell之后，權限是_www-data__？

      3.4黑客寫入的webshell文件名是___1.php___。(請提交帶有文件后綴的文件名，例如x.txt)

      3.5黑客上傳的代理工具客戶端名字是___frpc__。（如有字母請全部使用小寫）

      3.6黑客代理工具的回連服務端IP是__192.168.239.123___。

      3.7黑客的socks5的連接賬號、密碼是__0HDFt16cLQJ#JTN276Gp_。（中間使用#號隔開，例如admin#passwd）

4.日志分析：

題目描述：單位某應用程序被攻擊，請分析日志，進行作答：

      4.1網絡存在源碼泄漏，源碼文件名是_www.zip_。(請提交帶有文件后綴的文件名，例如x.txt)

      4.2分析攻擊流量，黑客往/tmp目錄寫入一個文件，文件名為_sess.car_。

      4.3分析攻擊流量，黑客使用的是_SplFileObject_類讀取了秘密文件。

5.流量分析：

題目描述：某天晚上，X單位的網站被黑客入侵了，管理員從單位網絡出口捕獲采樣流量，請您分析流量進行回答：

      5.1攻擊者的IP是_172.18.0.125_。

6.內存分析：

題目描述：網管小王制作了一個虛擬機文件，讓您來分析后作答：

      6.1虛擬機的密碼是_flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}_。（密碼中為flag{xxxx}，含有空格，提交時不要去掉）

vol.py -f Target.vmem --profile=Win7SP1x64 hivelist

vol.py -f Target.vmem --profile=Win7SP1x64 hashdump -y 0xfffff8a000024010 -s 0xfffff8a000e66410

be5593366cb1019400210101581e5d0d

flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}

      6.2虛擬機中有一個某品牌手機的備份文件，文件里的圖片里的字符串為__flag{TH4NK Y0U FOR DECRYPTING MY DATA}_。（解題過程中需要用到上一題答案中flag{}內的內容進行處理。本題的格式也是flag{xxx}，含有空格，提交時不要去掉）

import re

import libnum

from urllib import parse

data = open('./1.csv', 'r').readlines()

tmppos = 1

tmpchar = 0

for line in data:

 try:

 re.search('GET \/', line).group()

 # print(parse.unquote(line.replace('', '')))

 res = parse.unquote(line.replace('', ''))

 res2 = re.search('password,(.*?),1\)\)_from_user\)\=\"(.*?)\"', res)

 pos = res2.group(1)

 char = res2.group(2)

 if int(tmppos) != int(pos):

  print(libnum.n2s(int(tmpchar, 16)).decode(), end = '')

 tmppos = pos

 tmpchar = char

 except:

 Pass

7.簡單日志分析：

題目描述：某應用程序被攻擊，請分析日志后作答：

      7.1黑客攻擊的參數是__user_。（如有字母請全部使用小寫）

      7.2黑客查看的秘密文件的絕對路徑是_/Th4s_IS_VERY_Import_Fi1e_。

      7.3黑客反彈shell的ip和端口是__192.168.2.197:8888__。（格式使用“ip:端口"，例如127.0.0.1:2333）

8.SQL注入：

題目描述：某應用程序被攻擊，請分析日志后作答：

      8.1黑客在注入過程中采用的注入手法叫__布爾盲注__。（格式為4個漢字，例如“拼搏努力”）

      8.2黑客在注入過程中，最終獲取flag的數據庫名、表名和字段名是_sqli#flag#flag_。（格式為“數據庫名#表名#字段名”，例如database#table#column）

      8.3黑客最后獲取到的flag字符串為_flag{deddcd67-bcfd-487e-b940-1217e668c7db}_。

10.iOS：

題目描述：一位ios的安全研究員在家中使用手機聯網被黑，不僅被竊密還丟失比特幣若干，請你通過流量和日志分析后作答：

      10.1黑客所控制的C&C服務器IP是__3.128.156.159__。

      10.2黑客利用的Github開源項目的名字是_stowaway_。（如有字母請全部使用小寫）

ph4ntonn/Stowaway: Stowaway -- Multi-hop Proxy Tool for pentesters (github.com)

stowaway

      10.3通訊加密密鑰的明文是__hack4sec__。

      10.4黑客通過SQL盲注拿到了一個敏感數據，內容是_746558f3-c841-456b-85d7-d6c0f2edabb2__。

      10.5黑客端口掃描的掃描器的掃描范圍是_10-499_。（格式使用“開始端口-結束端口”，例如1-65535）

      10.8黑客寫入了一個webshell，其密碼為_fxxk_。