咨询电话:400-6446-808

新闻动态

首页 新闻动态 创安实验室专栏
详情
创安实验室专栏丨2023“陇剑杯”网络安全大赛预选赛Writeup①
2023-09-08 00:00:00

 

 

 

 

 

 

 

 

 

 

古语有云:“学如逆水行舟,不进则退。”面对如今随时都在变化的网络安全环境更是如此。为此,创信华通微信公众号特开设“创安实验室专栏”,以记录创信华通创安实验室在技术上的探索,加强同行间的交流,相互学习,共同进步。

 

+

+

2023“陇剑杯”网络安全大赛预选赛Writeup ①

HW

hard_web_1

这题其实可以参考这篇文章:从一道题分析Nmap SYN/半连接/半开放扫描流量(https://mochu.blog.csdn.net/article/details/127569366)

TCP扫描确认端口开放的标志就是返回 SYN+ACK 的包,所以只需要过滤 SYN、ACK 状态都为 1 的包即可

tcp.flags.syn==1 and tcp.flags.ack==1

答案

80,888,8888

hard_web_2

过滤 http 发现这里有个 shell.jsp 

右键追踪HTTP流,可以看到 shell.jsp 的内容,哥斯拉AES加密的shell

PS:选择HTTP流是因为经过gzip解码的,如果是追踪TCP流还需要解码gzip

那么经过 shell.jsp 的流量就是AES加密过的,密钥已知: 748007e861908c03 

选择原始数据,以 0d0a0d0a 为 请求体/响应体 和 请求头/响应头 的界限

然后直接丢 CyberChef 梭哈

能解密流量了,就慢慢看过找flag即可,读取flag在 tcp.stream eq 20053 

flag{9236b29d-5488-41e6-a04b-53b0d8276542}

hard_web_3

webshell连接密码就是: 748007e861908c03 

cmd5撞一下即可得知是(不过这条收费): 14mk3y 

PS C:\Users\Administrator> php -r "var_dump(md5('14mk3y'));"

Command line code:1:

string(32) "748007e861908c03ba0830d5c47fd282"

 

SS

sevrer save_1

过滤 http ,前面都是爆破的干扰流量,直接看到后面。

从这个 /helloworld/greeting 开始追踪TCP流,直接搜索引擎检索Payload关键字即可锁定CVE编号

CVE-2022-22965

sevrer save_2

继续追踪TCP流,在 tcp.stream eq 106 ,即可发现反弹shell的IP和端口

192.168.43.128:2333

sevrer save_3

 /home/guests/ 下发现一个 main 文件,是 ELF 可执行文件。

main

sevrer save_4

生成的用户名和密码,直接查看 /etc/passwd 以及 /etc/shadow 

新创建的用户名和密码: ll:123456 

sevrer save_5

 /home/guests/.log.txt 中有一个外网IP: 172.105.202.239 

sevrer save_6

从 main 文件的修改时间来看,以及 .idea 中两个看着很像挖矿程序的修改时间完全相同来猜测, lolMiner  、 mine_doge.sh 是病毒运行后释放的文件

lolMiner,mine_doge.sh

sevrer save_7

打开 mine_doge.sh 

很明显,矿池地址: doge.millpools.cc:5567 

sevrer save_8

钱包地址: DOGE:DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9 

 

WS

Wireshark1_1

就两个IP,很明显被TELNET登陆的IP是: 192.168.246.28 

Wireshark1_2

直接追踪TCP流即可发现口令为: youcannevergetthis 

Wireshark1_3

Downloads

Wireshark1_4

mysql

 

T·B·C

 

本文由创信华通创安实验室编辑。

本文仅限于个人学习和技术研究,由于传播、利用此文所提供的信息而造成刑事案件、非授权攻击等违法行为,均由使用者本人负责,本单位不为此承担任何责任。创安攻防实验室拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。

 

如有侵权,请联系后台。

TCP扫描确认端口开放的标志就是返回 SYN+ACK 的包,所以只需要过滤 SYN、ACK 状态都为 1 的包即可

tcp.flags.syn==1 and tcp.flags.ack==1

答案

80,888,8888

hard_web_2

过滤 http 发现这里有个 shell.jsp 

右键追踪HTTP流,可以看到 shell.jsp 的内容,哥斯拉AES加密的shell

PS:选择HTTP流是因为经过gzip解码的,如果是追踪TCP流还需要解码gzip

那么经过 shell.jsp 的流量就是AES加密过的,密钥已知: 748007e861908c03 

选择原始数据,以 0d0a0d0a 请求体/响应体  请求头/响应头 的界限

然后直接丢 CyberChef 梭哈

能解密流量了,就慢慢看过找flag即可,读取flag在 tcp.stream eq 20053 

flag{9236b29d-5488-41e6-a04b-53b0d8276542}

hard_web_3

webshell连接密码就是: 748007e861908c03 

cmd5撞一下即可得知是(不过这条收费): 14mk3y 

PS C:\Users\Administrator> php -r "var_dump(md5('14mk3y'));"

Command line code:1:

string(32) "748007e861908c03ba0830d5c47fd282"

<p style="text-wrap: wrap; margin-top: 0px; margin-bottom: 0px; padding: 0px; box-sizing: border-box;" pow
PSV-2020-0427
创安实验室专栏丨内网渗透-代理转发笔记

推荐文章

  • 电话:028-01000000

    在这里输入描述

  • 传真:028-01001010

    在这里输入描述

  • 邮箱:support@baidu.com

    在这里输入描述

  • 地址:北京市高新区天府大道200号

    在这里输入描述

关注微信公众号

蜀ICP 00000000号  技术支持:建站公司

  • 电话:400-6446-808   028-85328724   19960399374

    在这里输入描述

  • 邮编:610041

    在这里输入描述

  • 地址:成都市武侯区天府二街蜀都中心一期 2号楼3003

    在这里输入描述

  • 关注微信公众号

蜀ICP 00000000号  技术支持:建站公司

关于创信

公司简介

企业文化

 

新闻动态

公司新闻

行业新闻

创安实验室专栏

 

 

解决方案

 

 

 

服务范围

专注领域

 

 

 

联系我们

 

 

 

咨询热线

028-40050060

© Copyright 2014-2020 网站底部模版  技术支持:建站模版

ICP备85893452-9-10957

快捷导航

联系方式

400-6446-808

成都市武侯区天府二街蜀都中心一期2号楼3003

关注微信公众号

©2016-2021 励合创联科技有限公司  版权所有 备案号:蜀ICP备19017270号 地址: 成都市武侯区楚峰国际中心B座5楼  技术支持:励合创联科技有限公司

版权所有 © 成都创信华通信息技术有限公司 技术支持:协伴云|商协会管理系统