EDI
JOIN US ▶▶▶
招新
EDI安全的CTF战队经常参与各大CTF比赛,了解CTF赛事。
欢迎各位师傅加入EDI,大家一起打CTF,一起进步。(诚招web re crypto pwn misc方向的师傅)有意向的师傅请联系邮箱root@edisec.net、shiyi@edisec.net(带上自己的简历,简历内容包括但不限于就读学校、个人ID、擅长技术方向、历史参与比赛成绩等等。
点击蓝字 · 关注我们
01
题目
1
黑客的IP是什么
然后使用PUT协议上传了hello.jsp
flag{192.168.31.190}2
黑客通过什么漏洞进入服务器的(提交cve编号)
搜索一下tomcat put协议上传漏洞就能得到漏洞CVE编号
flag{CVE-2017-12615}3
黑客上传的木马文件名是什么?(提交文件名)
flag{hello.jsp}4
黑客上传的木马连接密码是什么?
通过流量中的传参数得到是7f0e6f
也可以从hello.jsp里看到
flag{7f0e6f}5
黑客上传的木马解密密码是什么?
格式化代码在15行可以看到用来加密的key是xc得到1710acba6220f62b
flag{1710acba6220f62b}6
黑客连接webshell后执行的第一条命令是什么?
得到内容返回结果是4.19.0-25-amd64
flag{uname -r}7
黑客连接webshell时查询当前shell的权限是什么?
继续查看流量,发现执行了id命令
flag{root}8
黑客利用webshell执行命令查询服务器Linux系统发行版本是什么?
这里使用cat /etc/os-release命令查看了系统发行版本
得到结果
flag{Debian GNU/Linux 10 (buster)}9
黑客利用webshell执行命令还查询并过滤了什么?(提交整条执行成功的命令)
这里执行了rpm -qa | grep pam
flag{dpkg -l libpam-modules:amd64}10
黑客留下后门的反连的IP和PORT是什么?(IP:PORT)
echo 了一个base64数据并执行
解密得到ip port
flag{192.168.31.143:1313}11
黑客通过什么文件留下了后门?
继续解密流量发现上传了一个pam_unix.so文件到/tmp/下
flag{pam_unix.so}12
黑客设置的后门密码是什么?
ssh查看服务器history得到将/tmp/pam_unix.so复制到了/lib/x86_64-linux-gnu/security/pam_unix.so
将pam_unix.so文件下载下来ida打开分析查看函数pam_sm_authenticate 这个函数是用来控制认证的,pam后门常常放在这里。
使用strcmp判断如果密码是XJ@123就登录成功
flag{XJ@123}13
黑客的恶意dnslog服务器地址是什么?
将登陆成功的用户和密码使用dnslog发送到服务器
flag{c0ee2ad2d8.ipv6.xxx.eu.org.}EDI安全
扫二维码|关注我们
一个专注渗透实战经验分享的公众号
原文始发于微信公众号(EDI安全):玄机应急响应哥斯拉4.0-流量分析-WriteUp By 小乐
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论