赛事简介：

“陇剑杯”已被公安部网安局确定为与“网鼎杯”“天府杯”之后的全国第三大网络安全赛事，是全国同类赛事中首次引入“人工智能人机对抗”，首个“以防为主”的网络安全大赛。“陇剑杯”与“网鼎杯”一样隔年举办，“陇剑杯”在“网鼎杯”的次年举办，参加“陇剑杯”获得前9名的队伍直接进入“网鼎杯”半决赛。2021年已成功举办一届，共吸引了全国31个省、市、自治区和各个行业的3020支战队，11135人报名参赛，同时还邀请4名院士专家及来自国家部委、省委省政府、省直厅局及中央驻甘机构、知名互联网企业的400余名嘉宾出席网络高峰论坛。

第二届“陇剑杯”网络安全大赛将以“共筑网络安全 守护数字经济”为主题，以实景防御、大数据分析、人工智能安全等综合防御能力提升为目标，打造高规格、高标准、高水平的全国性网络安全赛事活动，为助推地区网络安全、数字产业、经济社会高质量发展注入强大动力。

ez_web

问题1

附件是一个pcap流量包，打开进行分析

这里要的是后门的文件名，那么直接筛选框输入http筛选http流量

大概看了下前面的流量，扫描的痕迹，返回包都是404，直接快速跳过
21531行开始返回200,那么从这儿开始看

往下翻，21902行发现了后门文件

但是这个文件出现的太突兀了，像是后来写入的shell，应该是前面访问了某个PHP解析后写入了这个文件，所以这里导出所有的对象

这里简单筛选PHP文件看了下，大部分都是548bytes，因为返回都是404
但是这里有个php文件他没有返回，像是执行了

导出所有的对象，在本地看了下
在ViewMore(1).php里面发现了问题，执行写入了d00r.php

那么这题的答案是ViewMore(1).php

问题2

这道题问的是服务器的内网IP
那么先看看后门文件执行了哪些命令
一共POST请求了10次

追踪HTTP流看看
从22251行追踪HTTP流发现了线索
这里执行了ifconfig

这里有两个内网IP，答案就是这俩

问题3

这里问的是写入了key
问题2中的那个http流往下追踪

发现执行了一个命令
URL解码后发现往文件k3y_f1le中写入了一串内容

base64解密

发现乱码，但是文件头是PK,这是ZIP的文件头，说明是个zip压缩文件
在线转文件
https://tool.hiofd.com/base64-to-file-online/
下载后发现key文件，但是有密码

继续分析，发现数据包里面读取了一个passwd

密码7e03864b0db7e6f9
尝试解密
成功打开key

所以问题答案就是7d9ddff2-2d67-4eba-9e48-b91c26c42337