导出HTTP对象的时候发现有sql注入的语句,猜测攻击手法是sql注入
在这里发现了可疑的php文件
追踪15340发现可控参数,也就是连接密码
Flag:flag{0898e404bfabd0ebb702327b19f}
知道攻击手法,因为蚁剑连接的方式是POST
所以直接用语法搜索
在24393组发现了base64加密的字符串
深入追踪此条流量,将下列部分进行url和base64解码
发现这是默认的创建文件的流量,而且文件内容默认为HaloANT!
接着往下进行流量分析
在24475组找到了与之对应的流量
追踪流量
解密之后得到
可以看到此处写入的内容是
ad6269b7-3ce2-4ae8-b97f-f259515e7a91
所以flag为 flag{ad6269b7-3ce2-4ae8-b97f-f259515e7a91}
接下来将追踪到的exe下载到本地
将所有内容复制放入010,因为exe文件头是4D5A,所以需要将前面的数字去掉
发现图片的长宽有问题,拉到010里面发现是张png图片
对crc值进行脚本爆破
运行得到结果
进行16进制转换,得到301
得到flag:flag{8f0dffac-5801-44a9-bd49-e66192ce4f57}
过滤第一个tcp流量,发现Destination是VMware虚拟机
其ip为192.168.246.28
Flag:flag{192.168.246.28}
对tcp流量进行追踪,找到了被入侵主机的账户和密码
所以口令是youcannevergetthis
Flag:flag{youcannevergetthis}
追踪tcp流,找到了ls的命令,发现用户目录下第二个文件夹是Downloads
Flag:flag{Downloads}
在 ccaatt //eettcc//ppaasswwdd命令下面找到倒数第二个用户的用户名为mysql
Flag:flag{mysql}
直接跟踪这个流,找到spring的特征poc
所以flag是CVE-2022-22965
跟踪流得到flag
192.168.43.128:2333
解压do压缩包,home文件夹得到一个程序
所以flag为main
IDA分析main病毒文件,反编译,猜测搜关键字符串passwd
跟进得到用户和密码
ll:123456
172.105.202.239
猜测.idea里面的文件就是释放文件
同上,得到钱包地址
分析请求地址找到进程即可找到挖矿程序路径
得到挖矿程序所在路径 /etc/redis/redis-server
所以flag为6f72038a870f05cbf923633066e48881
所以flag为3fca20bb92d0ed67714e68704a0a4503
所以flag为3ee726cb32f87a15d22fe55fa04c4dcd
同上vol分析得到攻击者IP地址为81.70.166.3
所以flag为b2c5af8ce08753894540331e5a947d35
利用vol工具读取日志可以找到UA头,得到flag
6ba8458f11f4044cce7a621c085bb3c6
也是利用vol工具一把梭,得到ssh密钥路径/root/.ssh/authorized_keys
所以flag为a1fa1b5aeb1f97340032971c342c4258
查看自启动配置,得到一个假的redis配置,也就是入侵者创建的服务,路径为
得到flag b2c5af8ce08753894540331ea947d35
Flag为:192.168.101.132
将base64数据解码成压缩包,发现需要密码。
在流量中发现了passwd。
得到flag为:7d9ddff2-2d67-4eba-9e48-b91c26c42337
之后Aes解密得到flag为:flag{WelC0m5_TO_H3re}
直接追踪tcp找到了key。
Flag为:ssti_flask_hsfvaldb
Flag为:red
Flag值为:index
发现测试的日志:
尝试后,首先发现了phpinfo泄露
这样就解决了phpinfo泄露。
Gii存在文件读取漏洞,再将gii给功能中的文件读取函数注释掉。
然后覆盖,即可得到flag
Key进行了rot47加密,在线解密得到flag
2e80307085fd2b5c49c968c323ee25d5
从RAW载入图像截取计算器当前结果得到
7598632541
在43504组里发现了jdbc漏洞
用户名为zyplayer,密码为1234567
Flag:flag{zyplayer:1234567}
经过搜索后发现,此漏洞是PostgreSQL JDBC Driver RCE,其编号为CVE-2022-21724