2023.10.20期中考核复现（misc）

杂项题就是2023陇剑杯的题目，可能还是不感兴趣吧，自从打完蓝帽杯之后除了web以外什么都没看

flow analysis 1

题目：What is the backdoor file name that comes with the server?( Including file suffix)

服务器附带的后门文件名是什么？（包括文件后缀）

应该是在http里，先把http 过滤一下，然后发现有很多404； http && http.response.code != 404 过滤一下，找一条有成功请求的返回看看（用于定位，避免大海捞针）。　　　

发现一个可疑文件

　

 追踪http流发现，post传了一个door.php上去，应该就是了  ViewMore.php

取MD5加密值,32位小写 f2807874ad719b14cca01f1979134cf1

flow analysis 2

题目:What is the internal IP address of the server?

服务器的内部 IP 地址是什么

　这里判断下后续是继续使用系统本身自带的后门文件继续渗透，还是使用刚刚写入的d00r.php 进行渗透。

　　　　　　http.request.uri contains "d00r.php"

　　　　发现对d00r.php 进行了命令执行并执行了ifconfig

也可以看tcp追踪流，在打开的追踪流的第一个（10098里）可以看到执行了ifconfig命令

也可以直接ctrl+f 在字节详情里找ifconfig

这是他的请求包，看看他的返回包

 找到了，是192.168.101.132

Yunxi{4b01989e4fbe9b5598a88b32f8d03ec8}

flow analysis 3

证明：What is the key written by the attacker to the server?

攻击者写入服务器的密钥是什么？

还是在之前的tcp追踪流里，可以看到写入了东西

但是直接将内容进行base64解密会发现解码出来还是乱码,将解码后的内容保存到文件当中,将这个文件放入010里面分析会发现这是一个zip文件,而且这个zip文件还是被加密的,而密码也可以在http流中找到

在这里看到了cat /passwd的命令，然后看他的返回包找到了密码

 接着往下找，发现了解压密码

先把文件放到kali里分离

输入密码之后得到flag

Forensics 1

题目：What is the key in the disk?

磁盘中的密钥是什么

vol.py -f 2023exam.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000003df94070 -D ./

 放到内存分析中发现key.txt

 

 rot47解码，得到flag

2e80307085fd2b5c49c968c323ee25d5

 

Forensics 2

题目：What is the result of running a calculator on the computer?

在计算机上运行计算器的结果是什么？

 vol.py -f 2023exam.raw --profile=Win7SP1x64 windows > windows

在文件中找到，有点费眼睛

md5一下就ok

Forensics 3

题目：What is the flag value present in this memory file? 

此内存文件中存在的flag值是什么？

用010打开raw文件，发现了特殊字符

U2FsdGVkX195MCsw0ANs6/Vkjibq89YlmnDdY/dCNKRkixvAP6+B5ImXr2VIqBSp
94qfIcjQhDxPgr9G4u++pA== 

说是aes加密，还没有密钥

qwerasdf为key，R-studio在C:/User/admin/Music目录找到i4ak3y，里边存着key

我是直接在010里看，这个key是单独的，有点可疑，然后试了试 就有了

得到flag

取证还是差的太多，不太擅长