AGCTF 2023陇剑杯wp

news2024/12/29 14:34:39

SSW

SmallSword_1

导出HTTP 对象的时候发现有sql 注入的语句,猜测攻击手法是 sql 注入

在这里插入图片描述

在这里发现了可疑的 php 文件
在这里插入图片描述

追踪 15340 发现可控参数,也就是连接密码

在这里插入图片描述
Flag:flag{0898e404bfabd0ebb702327b19f}

SmallSword_2

知道攻击手法,因为蚁剑连接的方式是 POST
所以直接用语法搜索
http.request.method == “POST”
在 24393 组发现了base64 加密的字符串

在这里插入图片描述

Base64 解码之后,发现有 hacker.txt 字样
在这里插入图片描述
深入追踪此条流量,将下列部分进行url 和base64 解码
在这里插入图片描述
0x72b3f341e432=D:/phpStudy/PHPTutorial/WWW/sqlii/Less-
7/hacker.txt&0xe9bb136e8a5e9=HaloANT!&6ea280898e404bfabd0e bb702327b19f=@ini_set(“display_errors”,“0”);@set_time_limit(0);echo “->|”;echo@fwrite(fopen(base64_decode( P O S T [ " 0 x 72 b 3 f 341 e 432 " ] ) , " w " ) , b a s e 6 4 d e c o d e ( _POST["0x72b3f341e432"] ),"w"),base64_decode( POST["0x72b3f341e432"]),"w"),base64decode(_POST[“0xe9bb136e8a5e9”]))?“1”:“0”;;echo “|<-”;die();
发现这是默认的创建文件的流量,而且文件内容默认为HaloANT!
接着往下进行流量分析
在 24475 组找到了与之对应的流量
在这里插入图片描述
追踪流量
在这里插入图片描述
解密之后得到0x72b3f341e432=D:/phpStudy/PHPTutorial/WWW/sqlii/Less- 7/hacker.txt&0xe9bb136e8a5e9=ad6269b7-3ce2-4ae8-b97f- f259515e7a91&6ea280898e404bfabd0ebb702327b19f=@ini_set("dis

play_errors",“0”);@set_time_limit(0);echo"->|";echo@fwrite(fopen(bas
e64_decode( P O S T [ " 0 x 72 b 3 f 341 e 432 " ] ) , " w " ) , b a s e 6 4 d e c o d e ( _POST["0x72b3f341e432"]),"w"),base64_decode( POST["0x72b3f341e432"]),"w"),base64decode(_POS T[“0xe9bb136e8a5e9”]))?“1”:“0”;;echo “|<-”;die();
可以看到此处写入的内容是
ad6269b7-3ce2-4ae8-b97f-f259515e7a91
所以flag 为 flag{ad6269b7-3ce2-4ae8-b97f-f259515e7a91}

SmallSword_3

在 16564 组中发现了一个程序为 huorong.exe
在这里插入图片描述
在这里插入图片描述
接下来将追踪到的 exe 下载到本地
在这里插入图片描述
将所有内容复制放入 010,因为 exe 文件头是 4D5A,所以需要将前面的数字去掉
在这里插入图片描述
运行之后得到一张名为 test.jpg 的图片
在这里插入图片描述
发现图片的长宽有问题,拉到 010 里面发现是张png 图片对crc 值进行脚本爆破

import os 
import  binascii 
import struct

for i in range(20000):
	wide  =  struct.pack('>i',i) 
	for j in range(20000):
		high  =  struct.pack('>i',j)
		data  =  b'\x49\x48\x44\x52'  +  wide+  high+b'\x08\x02\x00\x00\x00'
		

		crc32  =  binascii.crc32(data)  &  0xffffffff 
		if  crc32  ==  0x5ADB9644:
			print('\n\n',i,j,crc32) print(type(data)) exit(0)
			print(i,end='  ')


运行得到结果
在这里插入图片描述
进行 16 进制转换,得到 301
在这里插入图片描述
在这里插入图片描述
得到flag:flag{8f0dffac-5801-44a9-bd49-e66192ce4f57}

WS

Wireshark1_1

过滤第一个tcp 流量,发现 Destination 是VMware 虚拟机
在这里插入图片描述
其 ip 为 192.168.246.28
Flag:flag{192.168.246.28}

Wireshark1_2

对tcp 流量进行追踪,找到了被入侵主机的账户和密码
在这里插入图片描述
所以口令是 youcannevergetthis
Flag:flag{youcannevergetthis}

Wireshark1_3

追踪 tcp 流,找到了 ls 的命令,发现用户目录下第二个文件夹是
Downloads
在这里插入图片描述

Flag:flag{Downloads}

Wireshark1_4

在 ccaatt //eettcc//ppaasswwdd 命令下面找到倒数第二个用户的用户名为mysql
在这里插入图片描述
Flag:flag{mysql}

SS

sevrer save_1

在这里插入图片描述
直接跟踪这个流,找到spring 的特征poc
在这里插入图片描述
在这里插入图片描述
所以 flag 是CVE-2022-22965

sevrer save_2

跟踪流得到 flag
在这里插入图片描述
192.168.43.128:2333

sevrer save_3

解压do 压缩包,home 文件夹得到一个程序
在这里插入图片描述
所以 flag 为 main

sevrer save_4

IDA 分析 main 病毒文件,反编译,猜测搜关键字符串 passwd
在这里插入图片描述
在这里插入图片描述
ll:123456

sevrer save_5

直接查看日志.log.txt 得到外网 IP
在这里插入图片描述172.105.202.239

sevrer save_6

猜测.idea 里面的文件就是释放文件

在这里插入图片描述
lolMiner,mine_doge.sh

sevrer save_7

查看 mine_doge.sh 得到矿池地址
doge.millpools.cc:5567
在这里插入图片描述

sevrer save_8

同上,得到钱包地址
DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9.lolMinerWorker

IR

IncidentResponse_1

将镜像导入虚拟机,然后直接用 volatility.exe 分析 vmdx 即可分析请求地址找到进程即可找到挖矿程序路径
得到挖矿程序所在路径 /etc/redis/redis-server
所以 flag 为 6f72038a870f05cbf923633066e48881

IncidentResponse_2

同上,得到挖矿程序连接的矿池域名是 domain:donate.v2.xmrig.com
所以 flag 为 3fca20bb92d0ed67714e68704a0a4503

IncidentResponse_3

登录虚拟机恢复之后查看 WEB 服务相关日志/home/app,分析发现存在 JAVA 服务,同时存 在 组 件 的 shiro 漏 洞 , 全 称 为 shirodeserialization , 所 以 flag 为3ee726cb32f87a15d22fe55fa04c4dcd

IncidentResponse_4

同上 vol 分析得到攻击者IP 地址为 81.70.166.3
所以 flag 为b2c5af8ce08753894540331e5a947d35

IncidentResponse_5

利用 vol 工具读取日志可以找到 UA 头,得到 flag 6ba8458f11f4044cce7a621c085bb3c6

IncidentResponse_6

也是利用 vol 工具一把梭,得到 ssh 密钥路径/root/.ssh/authorized_keys 所以 flag 为a1fa1b5aeb1f97340032971c342c4258

IncidentResponse_7

查看自启动配置,得到一个假的 redis 配置,也就是入侵者创建的服务,路径为
/lib/systemd/system/redis.service
得到 flag b2c5af8ce08753894540331ea947d35

EW

Ez_web1

发现直接写入了d00r.php 利用的文件是 ViewMore.php。
在这里插入图片描述
Flag 为:ViewMore.php

Ez_web2

追踪d00r.php 的 http 流量,发现内网 ip。
在这里插入图片描述
Flag 为:192.168.101.132

Ez_web3

将 base64 数据解码成压缩包,发现需要密码。
在这里插入图片描述
在这里插入图片描述
在流量中发现了passwd。
在这里插入图片描述
在这里插入图片描述
得到 flag 为:7d9ddff2-2d67-4eba-9e48-b91c26c42337

HD

HD1

发现回显是admin,所以对应的前边一个流量为 admin 账号密码登录。
在这里插入图片描述
之后 Aes 解密得到 flag 为:flag{WelC0m5_TO_H3re}

HD2

直接追踪 tcp 找到了 key。
在这里插入图片描述
Flag 为:ssti_flask_hsfvaldb

HD3

在这里插入图片描述
Flag 为:red

HD4

在这里插入图片描述
Flag 值为:index

WEB

发现测试的日志:
在这里插入图片描述
尝试后,首先发现了 phpinfo 泄露
在这里插入图片描述
在 ConfigPanel.php 中发现了 phpinfo(),直接把回显注释掉。
在这里插入图片描述
这样就解决了phpinfo 泄露。
Gii 存在文件读取漏洞,再将 gii 给功能中的文件读取函数注释掉。
在这里插入图片描述
然后覆盖,即可得到 flag
在这里插入图片描述

BF

baby_forensics_1

从内存镜像提取出bitlocker,解密镜像,然后得到 key.txt
在这里插入图片描述
Key 进行了rot47 加密,在线解密得到 flag
在这里插入图片描述
2e80307085fd2b5c49c968c323ee25d5

baby_forensics_2

从 RAW 载入图像截取计算器当前结果得到

在这里插入图片描述
7598632541

TP

Tcpdump_3

在 43504 组里发现了 jdbc 漏洞
在这里插入图片描述
用户名为zyplayer,密码为 1234567 Flag:flag{zyplayer:1234567}

Tcpdump_4

在 43551 组里找到了一个本地的漏洞测试,上传了一个custom.dtd.xml
在这里插入图片描述
经过搜索后发现,此漏洞是PostgreSQL JDBC Driver RCE,其编号为CVE-2022-21724
Flag:flag{ CVE-2022-21724:custom.dtd.xml}

Tcpdump_5

过滤tcp 流,在 43661 组里面发现了 fscan
在这里插入图片描述
Flag:flag{fscan}

HW

HW1

分析流量发现,成功的包只有 80,888,8888
所以 flag 为:80,888,8888

HW2

发现响应 200
在这里插入图片描述
发现 flag 位置,和加密方式。
在这里插入图片描述
在这里插入图片描述
AES 解密得到 flag
在这里插入图片描述

HW3

对 748007e861908c03 进行 md5 解密得到 flag:14mk3y

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/962497.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Nacos整合Feign远程调用

Feign使用 Feign是一个声明式的http客户端&#xff0c;其作用就是帮助我们优雅的实现http请求的发送。 将Feign的Client抽取为独立模块&#xff0c;并且把接口有关的POJO、默认的Feign配置都放到这个模块中&#xff0c;提供给所有消费者使用。 例如&#xff0c;将UserClien…

vue小测试之拖拽、自定义事件

在开始之前我去复习了一下&#xff0c;clientX、clientY、pageX、pageY的区别&#xff0c;对于不熟悉offsetLeft和offsetTop的也可以在这里去复习一下。 vue拖拽指令之offsetX、clientX、pageX、screenX_wade3po的博客-CSDN博客_vue offset 客户区坐标位置&#xff08;clientX&…

虚拟工厂搭建,一键导入、即刻生产 | 大界 RoBIM CLOUD 云平台发布

大界在建筑、船舶、工程机械以及能源行业经过多年的场景实践&#xff0c;逐步形成了跨行业的 “算法数据流程” 的模型服务能力&#xff0c;并积累和沉淀为 RoBIM Cloud 平台产品。 RoBIM Cloud RoBIM Cloud 是一款云原生的智能机器人柔性生产平台&#xff0c;历时 3 年研发。大…

MavenCentral库发布记录

最近发布了 Android 路由库 URouter&#xff0c;支持 AGP8、ActivityResult启动等特性。 把提交到 Maven Central 过程记录一下。 一、注册 Sonatype 账号&#xff0c;新建项目 注册 https://​​issues.sonatype.org 登录后&#xff0c;新建项目&#xff1a; 相关选项&…

苹果macOS 14开发者预览版Beta 7发布 新增超过100款视频壁纸和屏保

8 月 31 日&#xff0c;苹果向 Mac 电脑用户推送了 macOS 14 开发者预览版 Beta 7 更新&#xff08;内部版本号&#xff1a;23A5337a&#xff09;&#xff0c;本次更新距离上次发布隔了 8 天。 苹果发布 Beta 7 更新的同时&#xff0c;还发布了第 6 个公测版&#xff0c;正式版…

Vue项目build打包编译后如何再修改后台请求地址

在public文件夹下新建config.js文件 在config.js中添加请求地址&#xff1a; window.myURL {baseURL: http://127.0.0.1:8080, }在index.html中引入创建的config.js <script src"./config.js" type"text/javascript"></script>在请求后台地…

访问学者申请需要具备哪些条件?

访问学者申请是一项重要的学术活动&#xff0c;要求申请者具备一定的条件和资格。知识人网小编提箱&#xff0c;申请访问学者通常需要满足以下条件&#xff1a; 1. 学术背景&#xff1a;申请者通常需要拥有博士学位或相当于博士学位的学术资格。他们的学术背景应该与他们希望进…

报错处理:Out of memory

报错环境&#xff1a; Linux 具体报错&#xff1a; Out of memory error&#xff0c;系统内存不足 排错思路&#xff1a; 当系统的内存资源被耗尽时&#xff0c;会出现 Out of memory 错误。这可能是由于应用程序占用了大量的内存&#xff0c;或者系统负载过高导致内存不足引起…

sap 一次性供应商 供应商账户组 临时供应商

sap中有一次性供应商这个名词&#xff0c;一次性供应商和非一次性供应商又有什么区别呢&#xff1f; 有如何区分一次性供应商和非一次性供应商呢&#xff1f; 1 区分一次性供应商和非一次性供应商的标志 在供应商的表LFA1中有个字段标示XCPDK&#xff08;一次性科目&#xff…

轻松打造高效Linux工作环境

引言 作为一名Linux持续学习者&#xff0c;我们经常会遇到繁琐的日常工作任务&#xff0c;例如查找某个文件、文件传输、调试等。如何便捷高效地完成这些任务是我们必须面对的问题。本文将为你提供一些实用的技巧和工具&#xff0c;帮助你轻松打造高效的Linux工作环境。 快速查…

IDEA 设置提示信息

IDEA 设置提示信息 File->Settings->Editor->Code Completion 取消勾选 Math case

联网智能实时监控静电离子风机的工作流程

联网智能实时监控静电离子风机是通过将静电离子风机与互联网连接&#xff0c;实现对其状态和性能的远程监控和管理。 具体实现该功能的方法可以包括以下几个步骤&#xff1a; 1. 传感器安装&#xff1a;在静电离子风机上安装适当的传感器&#xff0c;用于感知相关的参数&…

六、Kafka-Eagle监控

目录 6.1 MySQL 环境准备6.2 Kafka 环境准备6.3 Kafka-Eagle 安装 6.1 MySQL 环境准备 Kafka-Eagle 的安装依赖于 MySQL&#xff0c;MySQL 主要用来存储可视化展示的数据 6.2 Kafka 环境准备 修改/opt/module/kafka/bin/kafka-server-start.sh 命令 vim bin/kafka-server-sta…

运用全新空调插座秒变智能新体验

最近台风肆虐&#xff0c;城市内涝等灾害频频发生&#xff1b;气候离不开环境&#xff0c;环境也离不开气候&#xff0c;在这两者之间&#xff0c;人类却成了第三者。 随手关灯&#xff0c;节约用电&#xff0c;是一种再普通不过的行为&#xff0c;然而10亿人在同一时间做同样…

SAP接口调用方式总结

目录 一、RFC调用/JCO调用二、Restful调用三、Webservice调用四、直联接口五、PI接口&#xff1a;具体不做赘述&#xff0c;可以百度总结&#xff1a; 前言&#xff1a;跟外围系统对接&#xff0c;首要要确认好接口的调用方式&#xff0c;然后再根据相关的调用方式进行相应的操…

windows11安装msi文件的方法

文章导航: 问题介绍开启Windows Installer服务安装msi文件 问题介绍 因为msi后缀的文件属于软件安装文件, 一般情况我们直接双击或者打开就可进行相应的安装操作. 但是对于新电脑, 自己刚买来, 而且不知道这种文件该如何打开的情况, 我们进行了这篇文件的介绍~ 希望能够帮助…

C#,《小白学程序》第十二课:日历的编制,时间DateTime的计算方法与代码

1 文本格式 /// <summary> /// 《小白学程序》第十二课&#xff1a;日历的编制&#xff0c;时间DateTime的计算方法与代码 /// 本课学习时间类型的数据 DateTime 的简单方法&#xff0c;并编制一个月的日历。 /// </summary> /// <param name"sender"…

通义千问部署搭建

文章目录 一、部署11.1 打开通义千问-7B-预训练-模型库-选择资源1.2 使用Netbook2.1 运行2.2 复制脚本2.2.1 问题1 &#xff1a;ImportError: This modeling file requires the following packages that were not found in your environment: transformers_stream_generator. R…

Configuring HSRP(Hot Standby Routing Protocol)

网络冗余架构设计中&#xff0c;必不可少的就是网关冗余功能&#xff0c;而很多核心网中都会用到HSRP(Hot Standby Routing Protocol)协议来实现这个功能。 热备份路由协议&#xff08;HSRP&#xff09; 热备份路由协议&#xff08;HSRP&#xff09;是思科公司专有的协议&…

JVM面试核心点

一、JDK体系 二、JVM体系 三、JVM内存模型 public class Math {public static final int data 666;public static UserEntity user new UserEntity();public int compute() { // 一个方法对应一块栈帧内存区域int a 1;int b 2;int c (ab)*10;return c;}public static voi…