[陇剑杯 2021]jwt      题目做法及思路解析（个人分享）

问一：昨天，单位流量系统捕获了黑客攻击流量，请您分析流量后进行回答： 该网站使用了______认证方式。（如有字母请全部使用小写）。

题目思路：

Token是服务端生成的一串字符串，以客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需要带上这个Token青睐请求数据即可，无需再次带上用户名和密码

JWT生成的Token由三部分组成：header.payload.signature

方法： 

通过 http contains "login" 命令查找，http协议中包含login（登录）的流量包（当然因为是认证方式所以也可不刻意查找，基本所有http包内都会包含）；

在http流中搜索token，并将token的第一段进行解码，得到认证方式

flag{jwt}（注意flag输入时的大小写方式）

问二：昨天，单位流量系统捕获了黑客攻击流量，请您分析流量后进行回答： 黑客绕过验证使用的jwt中，id和username是______。（中间使用#号隔开，例如1#admin）。

题目思路：

通过对流量包整体分析发现，黑客登录后会进行命令执行操作，共进行了四次whoami的操作，但是前两次并没有回显信息，结合题目，黑客绕过验证使用的后jwt中存在id和username。

方法：

通过命令 http contains "whoami" 查找http协议中包含whoami(查看当前系统用户的命令)的流量包

查看命令成功执行的数据包的http流，将token中的第二段进行解码得到id和username

flag{10087#admin}

问三：昨天，单位流量系统捕获了黑客攻击流量，请您分析流量后进行回答： 黑客获取webshell之后，权限是______？

题目思路：

 结合上一题，直接查找http协议中包含whoami(查看当前系统用户的命令)的流量包

方法：

http contains "whoami" 命令查找http协议中包含whoami的流量包

查看http流中的回显，得到权限信息

flag{root}

问四：昨天，单位流量系统捕获了黑客攻击流量，请您分析流量后进行回答： 黑客上传的恶意文件文件名是_____________。

题目思路：

在对流量包整体分析后，发现在黑客成功执行whoami命令之后，又多次执行了命令执行操作，在查看后续流量包中可发现黑客上传的恶意文件（将base64编码后的内容利用工具解码后传入恶意文件，并在后续操作中查看确认该文件是否创建成功）

方法：

继续查看成功执行whoami命令后的流量包（可通过tcp流中的流进行控制向后查看）,查看到上传的恶意文件

在/tmp目录下创建了1.c文件，若想查看该文件写入的内容可右击该文件的“HTML Form URL Encoded: application/x-www-form-urlencoded”，点击查看“显示分组字节流”，解码为base64进行查看

flag{1.c}

问五：昨天，单位流量系统捕获了黑客攻击流量，请您分析流量后进行回答： 黑客在服务器上编译的恶意so文件，文件名是_____________。(请提交带有文件后缀的文件名，例如x.so)。

题目思路：

根据题目，直接提示了编译文件的后缀名为.so，可直接使用命令http contains ".so"查看http协议中包含.so的流量包，进行查找

方法：

http contains ".so"查找，找到黑客编译的恶意文件

flag{looter.so}

问六：昨天，单位流量系统捕获了黑客攻击流量，请您分析流量后进行回答： 黑客在服务器上修改了一个配置文件，文件的绝对路径为_____________。（请确认绝对路径后再提交）。

题目思路：

通过之前题目的分析，发现该系统为linux系统，/etc为linux中默认的系统配置文件存放目录。可通过查看http协议中包含/etc的流量包，也可以根据上一题中的分析，自然向后查看分析数据包，也可发现黑客修该的配置文件及绝对路径

方法：

http contains "/etc"命令查看http协议中包含/etc的流量包

找到黑客修改的配置文件及绝对路径为/etc/pam.d/common-auth（/etc/pam.d/目录为PAM认证模块配置）

flag{/etc/pam.d/common-auth}