2021陇剑杯-流量分析

1.昨天，单位流量系统捕获了⿊客攻击流量，请您分析流量后进⾏回答：该⽹站使⽤了( )认证方式？(如有字母则默认小写)

注意：此附件适用于jwt所有系列

网站使用的认证方式主要有： 
    Session机制
    JWT
    OAuth2
    Cookie
    HTTP Basic Auth
    OpenID Connect
    双因素认证

这题使用的是cookie

jwt解密一下

所以是jwt认证

2.黑客绕过验证使用的jwt中，id和username是___。（中间使用#号隔开，例如1#admin）

如上题

{

"id": 10086,

"MapClaims": {

"aud": "admin",

"username": "admin"

}

}

10086#admin

3.黑客获取webshell之后，权限是___？(字母默认小写)

找到第10个流量包，有执行whomi

权限是

root

4.黑客上传的恶意文件文件名是___。(请提交带有文件后缀的文件名，例如x.txt)

第13个流量包

1.c

5.黑客在服务器上编译的恶意so文件，文件名是___。(请提交带有文件后缀的文件名，例如x.so)

第21个包

looter.so

6.黑客在服务器上修改了一个配置文件，文件的绝对路径为___。（请确认绝对路径后再提交）

第27个流

/etc/pam.d/common-auth

7.单位某应用程序被攻击，请分析日志，进行作答：网络存在源码泄漏，源码文件名是__

直接搜索200

www.zip

8.分析攻击流量，黑客往/tmp目录写入一个文件，文件名为___。

直接搜索tmp

sess_car

9.分析攻击流量，黑客使用的是__类读取了秘密文件。

如上题

SplFileObject

10某应用程序被攻击，请分析日志后作答：黑客攻击的参数是___。（如有字母请全部使用小写）

直接搜索500的响应

user

11.黑客查看的秘密文件的绝对路径是___。（不带 / ）

如上题

解码

Th4s_IS_VERY_Import_Fi1e

12.黑客反弹shell的ip和端口是___。（格式使用“ip:端口"，例如127.0.0.1:2333）

这一条

解码

192.168.2.197:8888

13.某应用程序被攻击，请分析日志后作答：黑客在注入过程中采用的注入手法叫___。（格式为4个汉字，例如“拼搏努力”）

布尔盲注

14.黑客在注入过程中，最终获取flag的数据库名、表名和字段名是___。（格式为“数据库名#表名#字段名”，例如database#table#column）

sqli#flag#flag

15黑客最后获取到的flag字符串为

import re
 
with open('sql.log','r') as file:
    lines=file.readlines()
    for line in lines:
        if (re.findall(r'200 (.+?) "-"',line))>=['479']:
            print(re.findall(r'%20=%20(.+?),1,',line))

脚本提取一下

flag{deddcd67-bcfd-487e-b940-1217e668c7db}

17网管小王制作了一个虚拟机文件，让您来分析后作答：虚拟机的密码是___。（密码中为flag{xxxx}，含有空格，提交时不要去掉）

mimikatz一把梭了

flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}

18.一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：黑客所控制的C&C服务器IP是___。

第15个流

3.128.156.159

20.黑客利用的Github开源项目的名字是___。（如有字母请全部使用小写）

直接搜索git

Stowaway

21.通讯加密密钥的明文是___。

打开github

-s 后面跟密钥

hack4sec

24.黑客访问/攻击了内网的几个服务器，IP地址为__。（多个IP之间按从小到大排序，使用#来分隔，例如127.0.0.1#192.168.0.1)

172.28.0.3

192.168.1.12

172.28.0.2#192.168.1.12

签到.此时正在进行的可能是＿协议的网络攻击。（如有字母请全部使用小写，请自行修改文件后缀名为.zip）

http

25.黑客登陆系统使用的密码是__

Admin123!@#

26.黑客修改了一个日志文件，文件的绝对路径为__答题格式：\xx\xxx\xxx\xxx.log不区分大小写

/var/www/html/data/Runtime/Logs/Home/21_08_07.log

27.黑客写入的webshell文件名是__。(请提交带有文件后缀的文件名，例如x.txt)

1.php