2024长城杯铁人三项Misc

2024 长城杯铁人三项

zeroshell

题目描述

小路是一名实习生,接替公司前任网管的工作,一天发现公司网络出口出现了异常的通信,现需要通过回溯出口流量对异常点位 (防火墙) 进行定位,并确定异常的设备。然后进行深度取证检查(需要获取 root 权限)。现在需要你从网络攻击数据包中找出漏洞攻击的会话,分析会话编写 exp 或数据包重放获取防火墙设备管理员权限,查找防火墙设备上安装的木马,然后分析木马外联地址和通信密钥以及木马启动项位置。

1. 从数据包中找出攻击者利用漏洞开展攻击的会话(攻击者执行了一条命令),写出该会话中设置的 flag, 结果提交形式:flag {xxxxxxxxx}

(本题附件见于提前下载的加密附件 2e9c01da1d333cb8840968689ed3bc57.7z,解压密码为 11b0526b-9cfb-4ac4-8a75-10ad9097b7ce )
2. 通过漏洞利用获取设备控制权限,然后查找设备上的 flag 文件,提取 flag 文件内容,结果提交形式:flag {xxxxxxxxxx}
3. 找出受控机防火墙设备中驻留木马的外联域名或 IP 地址,结果提交形式:flag {xxxx},如 flag {www.abc.com} 或 flag {16.122.33.44}
4. 请写出木马进程执行的本体文件的名称,结果提交形式:flag {xxxxx},仅写文件名不加路径
5. 请提取驻留的木马本体文件,通过逆向分析找出木马样本通信使用的加密密钥,结果提交形式:flag {xxxx}
6. 请写出驻留木马的启动项,注意写出启动文件的完整路径。结果提交形式:flag {xxxx},如 flag {/a/b/c}

zeroshell_1

  • 查看所有的 HTTP 对象

    image-20250104174232078
  • 发现一条命令执行的请求

    image-20250104174446399

  • 查询 frame.number == 11053 找到数据包,然后追踪流

    image-20250104180227374
  • 发现请求报文中 Referer 字段值开头为 flag 的 base64 编码,用 cyberchef 解码

    image-20250104180642670
  • flag{6C2E38DA-D8E4-8D84-4A4F-E2ABD07A1F3A}

zeroshell_2

  • 重放攻击者执行 ps -ef 命令的数据包,成功执行

    image-20250104181418308

  • 修改命令为 find / -name flag 查找系统中 flag 文件

    image-20250104182646954

  • cat

    image-20250104182834697

  • flag{c6045425-6e6e-41d0-be09-95682a4f65c4}

zeroshell_3

  • 不知道为什么 netstat -ano 查出来没有显示那个 SYN_SENT 的异常 IP

    image-20250105114759110
  • 那就看看第二题 flag 同目录下的所有文件,发现.nginx,cat 一下,然后保存报文 body

    image.png

  • 用正则表达式找一下 IP 地址

    Snipaste
  • flag{202.115.89.103}

zeroshell_4

  • 就是上面找到的.nginx 文件
  • flag{.nginx}

zeroshell_5

  • 纯靠猜,反编译查字符串,和外联 IP 最近的看着像

    image.png

  • flag{11223344qweasdzxc}

WinFT

题目描述

某单位网管日常巡检中发现某员工电脑(IP:192.168.116.123)存在异常外连及数据传输行为,随后立即对该电脑进行断网处理,并启动网络安全应急预案进行排查。

1、受控机木马的回连域名及 ip 及端口是(示例:flag {xxx.com:127.0.0.1:2333})

(本题附件见于提前下载的加密附件 82f13fdc9f7078ba29c4a6dcc65d8859.7z,解压密码为 3604e2f3-585a-4972-a867-3a9cc8d34c1d )
2、受控机启动项中隐藏 flag 是
3、受控机中驻留的 flag 是
4、受控源头隐藏的 flag 是
5、分析流量,获得压缩包中得到答案
6、通过 aes 解密得到的 flag

winFT_1

  • netstat -ant 然后查 dns 缓存

    image-20250106101534294

  • flag{miscsecure.com:192.168.116.130:443}

winFT_2

  • 查看任务计划程序

    image-20250106101928895

  • base64 解码后 html 实体解码

    image-20250106102237311

  • flag{AES_encryption_algorithm_is_an_excellent_encryption_algorithm}

winFT_3/4

  • 没看明白,网上的 wp 也没有这两个题的解

winFT_5

  • 先看看导出的 http 对象

    image-20250106111440269

  • 已知 192.168.116.130 是木马回连地址,那这两个 client 和 server 就是木马的客户端和服务端。是二进制文件,而且有 50 2b 03 04 开头和 50 2b 05 06 的 zip 标志,猜测这两个可以合成一个 zip

    image-20250106112226574

  • copy /b client+server flag.zip 合成两星

    image-20250106113054385

    右侧有备注文本,也解释了为什么 50 2b 05 06 不是文件的二进制结尾

  • 备注试过了,不是密码,随便解码看看

    image-20250106113558732
  • 时间线关联非常重要是解压密码,得到 flag.txt 内容

  • flag{a1b2c3d4e5f67890abcdef1234567890-2f4d90a1b7c8e2349d3f56e0a9b01b8a-CBC}

winFT_6

  • 根据 2,5 的 flag 内容,猜测上面 flag 里那串字符是 cbc 模式 aes 加密的结果
  • 至于密钥?或许在捕获的流量里?我不知道 ╮(╯_╰)╭

SC_05

题目描述

近日某公司网络管理员老张在对安全设备进行日常巡检过程中发现防火墙设备日志中产生了 1 条高危告警,告警 IP 为 134.6.4.12(简称 IP1),在监测到可疑网络活动后,老张立刻对磁盘和内存制做了镜像。为考校自己刚收的第一个徒弟李华,老张循序渐进,布置了 5 道问题。假如你是李华,请你根据提供的防火墙日志、磁盘镜像及内存镜像文件对主机开展网络安全检查分析,并根据 5 道问题提示,计算并提交相应 flag。

问题 1:IP1 地址首次被请求时间是多久?计算内容如:2020/05/18_19:35:10 提交格式:flag {32 位大写 MD5 值}

(本题附件见于提前下载的加密附件 38c44f100028b56e09dc48522385fa95.7z,解压密码为 37af3744-53eb-49fd-854a-f6f79bbf5b1c )
问题 2:IP1 地址对应的小马程序 MD5 是多少?提交格式:flag {32 位大写 MD5 值}
问题 3:大马程序运行在哪个进程中?计算内容:PID - 进程名,如 123-cmd.exe 提交格式:flag {32 位大写 MD5 值}
问题 4:大马程序备用回连的域名是多少?计算内容如:www.baidu.com 提交格式:flag {32 位大写 MD5 值}
问题 5:攻击者最终窃取数据的文件中包含的 flag 值? 提交格式:flag {xxx}, 注意大小 FLAG {xx} 要转换为小写 flag {xx}

sc_05_1

  • 对 firewall.xlsx 文件的三个表筛选,找时间最早的计算 md5,即 2024/11/09_16:22:42

  • flag{01DF5BC2388E287D4CC8F11EA4D31929}

上一篇
下一篇