网站建设怎么样,网站托管运营所需资料,沈阳网站制作,wordpress用户角色的区别链接#xff1a;https://pan.baidu.com/s/1e3ZcfioIOmebbUs-xGRnUA?pwd9jmc 提取码#xff1a;9jmc 前几道比较简单#xff0c;是经常见、常考到的类型
1.pcap——zip里
流量分析里有压缩包 查字符串或者正则表达式#xff0c;在包的最底层找到flag的相关内容 我们追踪… 链接https://pan.baidu.com/s/1e3ZcfioIOmebbUs-xGRnUA?pwd9jmc 提取码9jmc 前几道比较简单是经常见、常考到的类型
1.pcap——zip里
流量分析里有压缩包 查字符串或者正则表达式在包的最底层找到flag的相关内容 我们追踪流 3种保存方法
1.直接用ascii保存并命名为1.zip 2.如果损坏那就选择原始数据保存为1.txt打开010编辑器新建文件导入16进制文件 现在的电脑都和智能保存后直接修改为zip也可以就不用下面的导入了 然后把1.txt拖进来 保存然后改名为zip文件 3.foremost或者binwalk分离
binwalk 直接分离1.pcap包里面就有压缩包
我window自配的foremost 这个是kali自带的 flag是个图片 2.pcap——php文件里1
这一题讲的是第二个方法——导出对象 ctrlf找flag找不到
导出对象 发现好多图片我们先找找有没有php的文件 可以简单筛选 找到flag 方法2
先把导出的目录放进去
利用linux的strings这样如果多个目录太多文件也能快速找到 strings $(find . | xargs) |grep flag -i 3.pcap——php文件里2 ctrlf找flag找不到
导出对象
找到一个base64的编码好奇是啥看看 得到
base64加密了怪不得找不到 john-in-the-middle——图片_隐写 这一题开始提供新思路图片隐写
我们依然正常查找先ctrlf找不到
导出看php没有php到这里你可以去试试linux的strings查找flag
也可以去分析一波tcp和http还有ftp这流量都是传东西用的平常问什么黑客怎么怎么了需要你去流里面仔细观察这一题没有很平平淡的传输没有什么攻击内容。所以没必要分析
我们直攻主题flag是这个图片因为flag就是棋子的意思 png有高度隐写、zip隐藏、lsb隐写、exiftool、steghind等等
都试试发现是lsb隐写 这次不把flag导出来直接抄下来 TTL.pcapng——ttl隐写
imcp的ping最常见的隐写就是ttl转ascii tshark查看wireshark自带的相当于wireshark的命令行版本 打开后输入,在命令行里写
tshark.exe -r D:\桌面\大纲\流量分析\TTL.pcap -T fields -e ip.ttl 处理一下用什么都行很智能的 去掉0 SQL盲注.pacp
直接ctrlf查找flag可以看出这是一共sql注入的包我按info排序了 那我们就需要观察请求头去找到flag了导出象看着方便 直接倒着看 一个一个找吧 溯源分析——冰蝎难度开始提升 ctrlf有回显 追踪留发现一些类似base64解出来是乱码的
导出对象进行筛选 大致浏览可以看见upload的字样说明这是文件上传的流量包
很可能就是冰蝎或者哥斯拉因为base64解不出来嘛看你是AES加密需要密钥和位移iv我们先大致浏览php文件发现大多是404报错只有config*.php文件可疑也是刚才我们解密的base64我们假设是冰蝎找密钥和iv找不到猜测是默认的安装冰蝎的时候又写好的默认脚本 shell.php里又默认密码e45e329feb5d925b
默认iv可以用0123456789abcdef代替我也不知道为什么老师说的
我们去解密
得出 base64解密 得出flag所需要的路径
随波逐流离线解密工具也可以注意明文和密文的位置 陇剑杯——ez_web_01-03
https://5ime.cn/longjiancup-2023.html
SmallSword 连接蚁剑的正确密码是______________?答案示例123asd 攻击者留存的值是______________?(答案示例d1c3f0d3-68bb-4d85-a337-fb97cf99ee2e) 攻击者下载到的flag是______________?(答案示例flag3{uuid}) 浏览整个分析包我们直接导出文件好吧
找php文件可以ctrlshiftf找关键字搜索什么system、eval等等。没找到
我们发现这类包不要404的找有回应的 6ea280898e404bfabd0ebb702327b19f%40ini_set(%22display_errors%22%2C%20%220%22)%3B%40set_time_limit(0)%3Becho%20%22-%3E%7C%22%3B%24D%3Ddirname(%24_SERVER%5B%22SCRIPT_FILENAME%22%5D)%3Bif(%24D%3D%3D%22%22)%24D%3Ddirname(%24_SERVER%5B%22PATH_TRANSLATED%22%5D)%3B%24R%3D%22%7B%24D%7D%09%22%3Bif(substr(%24D%2C0%2C1)!%3D%22%2F%22)%7Bforeach(range(%22A%22%2C%22Z%22)as%20%24L)if(is_dir(%22%7B%24L%7D%3A%22))%24R.%3D%22%7B%24L%7D%3A%22%3B%7Delse%7B%24R.%3D%22%2F%22%3B%7D%24R.%3D%22%09%22%3B%24u%3D(function_exists(%22posix_getegid%22))%3F%40posix_getpwuid(%40posix_geteuid())%3A%22%22%3B%24s%3D(%24u)%3F%24u%5B%22name%22%5D%3A%40get_current_user()%3B%24R.%3Dphp_uname()%3B%24R.%3D%22%09%7B%24s%7D%22%3Becho%20%24R%3B%3Becho%20%22%7C%3C-%22%3Bdie()%3B 可以看出6ea280898e404bfabd0ebb702327b19f可能是第一题的答案就是传参的值当然也有可能16进制加密了我解密了解不出来
第一题flag就是
连接蚁剑的正确密码是6ea280898e404bfabd0ebb702327b19f 既然找到木马文件了继续往下找就是 发现这个文件大小特别异常很大根据上一条发包信息他可能是一个exe文件 我们修改删除多余的字符删除前后的-|MZ后面好像没有保存运行 不行用010修改试试删 还不行试试binwalk或者foremost好像不行~~
重新导出对象然后010再删除一遍就好了
老六保存到上一级目录了放文件夹里才会显示到桌面上 这个图片是宽高隐藏大致解密 改成0f01就行 也可以看出这是png图片的头 提取完懒得试了
flag3{8fOdffac-5801-44a9-bd49-e66192ce4f57}
0啊o啊什么的自己试试吧
攻击者下载到的flag是______________?(答案示例flag3{uuid}) 继续往下看
这个里面发现两个不一样的base64解密后刚好是答案 攻击者留存的值是___ad6269b7-3ce2-4ae8-b97f-f259515e7a91___?(答案示例d1c3f0d3-68bb-4d85-a337-fb97cf99ee2e) ez_web 服务器自带的后门文件名是什么含文件后缀 服务器的内网IP是多少 攻击者往服务器中写入的key是什么 废话不多说好吧直接开导
筛选出php文件 很快找到类似的木马文件
发现第二个有个ifconfig 直接看回包然后里面的ip一个一个试 服务器的内网IP是多少————192.168.101.132 15包似乎是1个密码 7e03864b0db7e6f9 第19个是压缩包 另存为发现解压要密码最后得到flag
攻击者往服务器中写入的key是什么————7d9ddff2-2d67-4eba-9e48-b91c26c42337
可以再wireshark里另存为以防压缩包损坏
怎么快速定位呢我们截取第19个php的部分内容然后就搜索到了 服务器自带的后门文件名是什么含文件后缀
这个怎么找呢试了d00r.php不行
这个文件试写入进去的那一定有写进去的一个文件我们直接搜d00r.php 答案就是这个文件名字ViewMore.php
