第二届“陇剑杯”网络安全大赛预选赛WP-数据分析-ez_web

发布于 2023-08-30  594 次阅读


赛事简介:

“陇剑杯”已被公安部网安局确定为与“网鼎杯”“天府杯”之后的全国第三大网络安全赛事,是全国同类赛事中首次引入“人工智能人机对抗”,首个“以防为主”的网络安全大赛。“陇剑杯”与“网鼎杯”一样隔年举办,“陇剑杯”在“网鼎杯”的次年举办,参加“陇剑杯”获得前9名的队伍直接进入“网鼎杯”半决赛。2021年已成功举办一届,共吸引了全国31个省、市、自治区和各个行业的3020支战队,11135人报名参赛,同时还邀请4名院士专家及来自国家部委、省委省政府、省直厅局及中央驻甘机构、知名互联网企业的400余名嘉宾出席网络高峰论坛。

第二届“陇剑杯”网络安全大赛将以“共筑网络安全 守护数字经济”为主题,以实景防御、大数据分析、人工智能安全等综合防御能力提升为目标,打造高规格、高标准、高水平的全国性网络安全赛事活动,为助推地区网络安全、数字产业、经济社会高质量发展注入强大动力。

ez_web

问题1


附件是一个pcap流量包,打开进行分析

这里要的是后门的文件名,那么直接筛选框输入http筛选http流量

大概看了下前面的流量,扫描的痕迹,返回包都是404,直接快速跳过
21531行开始返回200,那么从这儿开始看

往下翻,21902行发现了后门文件

但是这个文件出现的太突兀了,像是后来写入的shell,应该是前面访问了某个PHP解析后写入了这个文件,所以这里导出所有的对象

这里简单筛选PHP文件看了下,大部分都是548bytes,因为返回都是404
但是这里有个php文件他没有返回,像是执行了

导出所有的对象,在本地看了下
在ViewMore(1).php里面发现了问题,执行写入了d00r.php

那么这题的答案是ViewMore(1).php

问题2


这道题问的是服务器的内网IP
那么先看看后门文件执行了哪些命令
一共POST请求了10次

追踪HTTP流看看
从22251行追踪HTTP流发现了线索
这里执行了ifconfig

这里有两个内网IP,答案就是这俩

问题3


这里问的是写入了key
问题2中的那个http流往下追踪

发现执行了一个命令
URL解码后发现往文件k3y_f1le中写入了一串内容

base64解密

发现乱码,但是文件头是PK,这是ZIP的文件头,说明是个zip压缩文件
在线转文件
https://tool.hiofd.com/base64-to-file-online/
下载后发现key文件,但是有密码

继续分析,发现数据包里面读取了一个passwd

密码7e03864b0db7e6f9
尝试解密
成功打开key

所以问题答案就是7d9ddff2-2d67-4eba-9e48-b91c26c42337

届ける言葉を今は育ててる
最后更新于 2023-09-20