2021年9月15日14:04:30已关闭评论246 views字数 1617阅读5分23秒阅读模式

题目描述：
昨天，单位流量系统捕获了黑客攻击流量，请您分析流量后进行回答：

解题思路：

2.1该网站使用了___jwt___认证方式。（如有字母请全部使用小写）

2.2黑客绕过验证使用的jwt中，id和username是_10087#admin_。（中间使用#号隔开，例如1#admin）

POST /exec HTTP/1.1
Host: 192.168.2.197:8081
Content-Length: 26
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://192.168.2.197:8081
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://192.168.2.197:8081/exec
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=3f8coeg6hm9vf0h5lcoifmk8o5; token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODcsIk1hcENsYWltcyI6eyJ1c2VybmFtZSI6ImFkbWluIn19.rurQD5RYgMrFZow8r-k7KCP13P32sF-RpTXhKsxzvD0
Connection: close

command=cat%20/tmp/.looterHTTP/1.1 200 OK
Content-Type: text/html; charset=utf-8
Date: Sat, 07 Aug 2021 05:25:45 GMT
Content-Length: 453
Connection: close

alert(“Username rootnPassword: flag{test_flag}nUsername rootnPassword: flag{test_flag}nUsername rootnPassword: flag{test_flag}nUsername rootnPassword: flag{test_flag}nUsername rootnPassword: flag{test_flag}n”)

window.location.href="/exec";

id值jwt 解密

2.3黑客获取webshell之后，权限是___root___？
在这里插入图片描述

2.4黑客上传的恶意文件文件名是__1.c__。(请提交带有文件后缀的文件名，例如x.txt)
在这里插入图片描述

2.5黑客在服务器上编译的恶意so文件，文件名是__looter.so__。(请提交带有文件后缀的文件名，例如x.so)
在这里插入图片描述

2.6黑客在服务器上修改了一个配置文件，文件的绝对路径为__/etc/pam.d/common-auth__。（请确认绝对路径后再提交）
在这里插入图片描述

相关推荐: 360的hackgame

闯关地址：http://attack.onebox.so.com第一关：要跳转到的地址：http://attack.onebox.so.com/c6c299rf-check.html这一关提示，如图直接想到了referer。用burpsuit把referer字…

左青龙
微信扫一扫

右白虎
微信扫一扫

2021陇剑杯网络安全大赛-JWT

解题思路：

第二届数据安全大赛暨首届数信杯积分争夺赛实践预赛南区Writeup

第二届数据安全大赛暨首届数信杯东部赛区writeup

西区-第二届数据安全大赛暨首届数信杯数据安全大赛 WP

阿里云CTF2024-暴力ENOTYOURWORLD题解

HackPack（LLM挑战）Writeup

第四届红明谷杯卫星应用数据安全大赛 WEB writeup

阿里云第三届伏魔挑战赛wp

TamuCTF 2024 Writeup

Android CrackMe寻找flag（java方法版）

广东省红帽杯网络安全攻防大赛 CTF - Write Up

在线咨询

微信