第四部分:D 模塊 CTF 奪旗-防御
總體要求:根據任務要求,參賽隊通過掃描、滲透測驗等手段檢測自己堡壘
服務器中存在的安全缺陷,進行針對性加固,從而提升系統的安全防御性能,
注意:該模塊所有的時間格式是資料包內設定時間格式為:flag{12:34:37.347025}
1) 分析攻擊者的IP地址并作為flag提交,flag:flag{xxx.xxx.xxx.xxx}
flag:flag{192.168.1.180}
2) 分析攻擊者找到后臺地址的時間,將黑客第一次訪問的后臺地址的時間(Time欄位)的值作為flag提交,
wireshark過濾語法:ip.addr == 192.168.1.180 && http.request.uri contains "/index.php/admin"
flag:flag{12:59:06.816816}
3) 分析攻擊者成功進入后臺的時間(Time欄位)的值,將時間作為flag提交,
wireshark過濾語法:ip.addr == 192.168.1.180 && http.request.uri contains "/index.php/admin" && http contains "passwd=admin"
flag:flag{13:01:48.032447}
4) 分析攻擊者第一次訪問webshell的時間(Time欄位)的值,將時間作為flag提交,
wireshark過濾語法:ip.addr == 192.168.1.180 && http.request.uri contains "/class/cache304/index.php"
flag:flag{13:06:44.844874}
5) 分析攻擊者上傳webshell的手法,將攻擊者用于傳遞webshell用的檔案名作為flag提交,
wireshark過濾語法:ip.addr == 192.168.1.180 && http.request.method == "POST"
看到一段應用商店的下載請求并且下載地址是黑客的服務器地址:
flag:flag{cache304.1.0.zip}
6) 分析攻擊者webshell檔案上傳的演算法,將通過webshell上傳的惡意檔案的目標路徑以及檔案名作為flag提交,
wireshark過濾語法:ip.addr == 192.168.1.180 && http.request.uri contains "/class/cache304/index.php"
過濾完成后可得到如下的資料包:
分析post的a的值可知,通過Post提交的引數進行了base64編碼并在前面添加了2個垃圾字符,所以對資料包進行過濾可知:
flag:{/tmp/peerserver_linux_x64}
7) 分析攻擊者給剛剛用webshell上傳的檔案增加執行權限的資料包長度(Length欄位)的值,將長度作為flag提交,
wireshark過濾語法:ip.addr == 192.168.1.180 && http.request.uri contains "/class/cache304/index.php"
對該資料包進行解密
flag:flag{836}
8) 分析攻擊者用于傳遞tty的shell連接秘鑰,將秘鑰作為flag提交,
wireshark語法:ip.addr == 192.168.1.180 && http.request.uri contains "/class/cache304/index.php"
追蹤TCP流量發現執行的代碼
進行url解密提取base64進行base64解碼后可看到明文代碼:
flag:flag{j89e23ry37hw9348yrh923}
9)分析攻擊者提權的方式,將攻擊者上傳提權可執行檔案的時間(Time欄位)的值作為flag提交,
通過之前的流量分析可知攻擊者通過udp加密傳輸的命令執行,然后執行了一條下載提權檔案的命令,提權檔案通過tcp進行傳輸,
還可以通過虛擬機內docker中的.bash_history檔案拿到線索分析出來
flag:flag{13:18:18.847510}
10) 分析攻擊者提權的程序,將攻擊者提權成功后第一次連接的時間(Time欄位)的值作為flag提交,
根據虛擬機內docker中的.bash_history檔案拿到線索分析出來在下載完成后就執行了docker逃逸操作,并且連接到攻擊者的8888埠,所以查找第一次與8888埠握手的時間,
flag:flag{13:19:06.809000}
11)分析攻擊者提權的程序,將攻擊者提權成功后執行的第一個和第二個命令按順序拼接在一起作為flag提交,
wireshark語法:ip.addr == 192.168.1.180 && tcp.port == 8888
追蹤流查看執行的命令:
flag:flag{idifconfig}
12) 分析攻擊者提權成功后的操作,將攻擊者添加的用戶的用戶名密碼作為flag提交,
通過查看用戶串列可以看到多出一個zxb用戶,
然后可以在資料包中過濾zxb關鍵字,找到資料包,
flag:flag{zxb123456}
13)分析攻擊者權限維持操作,并將攻擊者上傳的打包檔案的檔案名作為flag提交,
flag:flag{reptile.tar}
14)分析攻擊者權限維持操作,并將攻擊者上傳的可執行后門程式的檔案名作為flag提交,
flag:flag{reptile_sshe}
15)分析攻擊者權限維持操作,并將攻擊者在自啟腳本中用于開機啟動后門程式的那行命令作為flag提交,
flag:flag{./etc/ssh/reptile_sshe&}
16)分析攻擊者權限維持操作,并將自啟程式連接的遠程服務器埠號作為flag提交,
flag:flag{8081}
17)分析攻擊者權限維持操作,將攻擊者免密登陸的認證檔案的md5值作為flag提交,
flag:flag{17e13bc510e4c758d69a0305c498a0e7}
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/320995.html
標籤:其他
上一篇:BUU sql注入-[SUCTF 2019]EasySQL
下一篇:API介面安全性設計