2023陇剑杯

2023陇剑杯初赛WP

HW

hard_web_1

在这里插入图片描述

首先判断哪个是服务器地址

在这里插入图片描述

从响应包看，给客户端返回数据包的就是服务器

所以确定服务器地址是192.168.162.188

再从开放端口来看，长期开放的端口

客户端发送一个TCP SYN包（同步请求），其中包含目标IP地址和要访问的端口号。
服务器收到SYN包后，如果端口是开放的，它会向客户端发送一个TCP SYN-ACK包（同步应答），以表示端口是开放的，并准备接受连接请求。
客户端在收到服务器的SYN-ACK包后，会向服务器发送一个TCP ACK包（确认应答），以建立连接。
一旦连接建立，数据可以在客户端和服务器之间传输。
1
2
3
4

所以用语句：

tcp.connection.synack && ip.dst==192.168.162.188
1

在这里插入图片描述

所以就是80、888、8888

hard_web_2

在这里插入图片描述

按照包名顺序找到HTTP的包

在这里插入图片描述

找到回显开始是200且命令执行的地方

这里追踪HTTP流只能看到注入内存马的地方，更远的地方看不到了

所以就从最后一个创建内存马的包入手

在这里插入图片描述

可以看到AES加密和密钥

找到的流量复制为16进制

在这里插入图片描述

复制多余的地方直接丢到vscode替换

在这里插入图片描述

上厨子解密：

在这里插入图片描述

打开就是flag

在这里插入图片描述

hard_web_3

在这里插入图片描述

‍

数据包tcp.stream eq 20052的回显发现：

在这里插入图片描述

结合前面的748007e861908c03，用脚本爆破密钥

或者直接cmd5解密

‍

SS

SS1

在这里插入图片描述

先看数据包

找到Hello路由的第一个数据包：

在这里插入图片描述

可以看到class.module.classLoader.resources.context.parent.pipeline.first.fileDateFormat=

直接上网：

在这里插入图片描述

CVE-2022022965

ss2

在这里插入图片描述

检索到TCP的前一个HTTP流量包可以看到反弹shell的语句

SS3

在这里插入图片描述

‍

SS4

在这里插入图片描述

直接看/etc/shadow

在这里插入图片描述

可以直接看到账号和密码

SS5

在这里插入图片描述

外网IP可以看home目录下的log文件
在这里插入图片描述

可以看到IP地址

SS6

在这里插入图片描述

释放的文件

在这里插入图片描述

就这两

SS7

在这里插入图片描述

‍

SS8

在这里插入图片描述

BF

BF1

在这里插入图片描述

磁盘中的key是多少

volatility取证

在这里插入图片描述

找key.txt:

在这里插入图片描述

提取文件：

在这里插入图片描述

这个反复提交不对，结果要rot转码…服了

在这里插入图片描述

BF2

在这里插入图片描述

vol.exe -f C:\CTF\2023陇剑杯\BF\baby_forensics_58a2fd5b17eac8108638f334c399de4a\baby_forensics.raw --profile=Win7SP1x64 windows > raw
1

在这里插入图片描述

我感觉这种有点难以理解为什么这个就是最后的答案，有了一个方法：

先把calc的内存提出来

在这里插入图片描述

然后把导出来的文件重命名为2844.data,然后丢到GIMP里面分析，把高度拉长一点往下面划就可以看到了

在这里插入图片描述

‍

BF3

在这里插入图片描述

一样是把这个进程dump出来

在这里插入图片描述

调分辨率看到字符串

U2FsdGVkX195MCsw0ANs6/Vkjibq89YlmnDdY/dCNKRkixvAP6+B5ImXr2VIqBSp94qfIcjQhDxPgr9G4u++pA==

导出密钥：

在这里插入图片描述

TP

TP1

在这里插入图片描述

条件锁定一下ip.src==172.31.0.2 && ip.dst == 172.31.0.1

下面回显长的翻一下

在这里插入图片描述

TP2

在这里插入图片描述

越权漏洞：

在这里插入图片描述

一个userid为1

另一个userid为2

在这里插入图片描述

TP3

在这里插入图片描述

确实不知道这个有什么技巧，硬找

TP4

在这里插入图片描述

后面已经可以看到反弹shell了

在这里插入图片描述

追踪前面一个流：

在这里插入图片描述

这里似乎就是写文件进去了，看一下是什么cve

在这里插入图片描述

所以就是CVE-2022-21724:custom.dtd.xml

TP5

在这里插入图片描述

一个一个翻，就是fscan_amd64

HD

hd1

在这里插入图片描述

找到一个数据包：

在这里插入图片描述

在第一个数据包里面给了aes的密钥和偏移量在这里插入图片描述

去解密

在这里插入图片描述

账号是admin

在这里插入图片描述

解密就是admin123了

hd2

在这里插入图片描述

一个一个翻，找到了配置进去看

在这里插入图片描述

全部丢进去解密

在这里插入图片描述

hd3

在这里插入图片描述

直接用第二题的密钥解码cookie，发现有SSTI注入

在这里插入图片描述

并且回显在了页面上

我们找比较可疑的回显：

一个None和没东西的：

在这里插入图片描述

分别解密，发现None没啥

但是空的那个有执行whomai命令，请求包解密一次，回显解密一次得到用户red

在这里插入图片描述

hd4

在这里插入图片描述

加了一个/Index路由

WS

ws1

在这里插入图片描述

被入侵直接看端口

在这里插入图片描述

Telnet协议，23端口往外发信息

所以源地址就是被攻击地址，所以就是192.168.246.28

ws2

在这里插入图片描述

追踪一手TCP可以看到密码：

在这里插入图片描述

ws3

在这里插入图片描述

ws4

在这里插入图片描述

SSW

ssw1

在这里插入图片描述

这里确实有点算是知识盲区了

我们假设一句话是

 @eval($_POST['shell']);?>
1

那么我们用wireshark抓包就是：

显而易见@ini_set("display_errors", "0");@set_time_limit(0)前面的就是密码了

在这里插入图片描述

所以这里的密码就是6ea280898e404bfabd0ebb702327b19f了

ssw2

在这里插入图片描述

u1s1我真不知道这个有什么技巧

在这里插入图片描述

纯靠硬找

在这里插入图片描述

ad6269b7-3ce2-4ae8-b97f-f259515e7a91就是留存值

ssw3

在这里插入图片描述

直接全部保存分析最大的包：

在这里插入图片描述

改成exe，然后用py分析：（地址：https://github.com/extremecoders-re/pyinstxtractor）

在这里插入图片描述

其中有一个2.pyc反编译后：

在这里插入图片描述

发现有图片，直接运行之后可以发现test.jpg

报错了没关系还是生成了

然后misc那一套该长度

在这里插入图片描述

EW

ew1

在这里插入图片描述

第一眼以为是这个d00r.php

在这里插入图片描述

提交发现不对，所以就看哪里生成了这个d00r.php

在这里插入图片描述

就找，可以找到这个ViewMore.php

ew2

在这里插入图片描述

‍

追踪d00r.php的HTTP数据包

在这里插入图片描述

有一个扫描的，上面有一个ipconfig

在这里插入图片描述

有好几个网卡

就是和nmap那个同一个网段就是192.168.162.130

ew3

在这里插入图片描述

最下面有这个数据包：

在这里插入图片描述

直接拷下来运行php


file_put_contents('k3y_f1le',base64_decode('UEsDBBQAAQAAANgDvlTRoSUSMAAAACQAAAAHAAAAa2V5LnR4dGYJZVtgRzdJtOnW1ycl/O/AJ0rmzwNXxqbCRUq2LQid0gO2yXaPBcc9baLIAwnQ71BLAQI/ABQAAQAAANgDvlTRoSUSMAAAACQAAAAHACQAAAAAAAAAIAAAAAAAAABrZXkudHh0CgAgAAAAAAABABgAOg7Zcnlz2AE6DtlyeXPYAfldXhh5c9gBUEsFBgAAAAABAAEAWQAAAFUAAAAAAA=='));
1
2

在这里插入图片描述