Original Source (有改动)

HTTPs://racinedee.github.io/2018/07/01/云南大学第一届信息安全铁人三项赛数据赛writeup/

第一届铁三校赛数据赛writeup。感觉比分区赛的题目要难,主要是题目中加了一个脑洞。

-O-O-O-O-O-O-O-O-

小利访问最频繁的网站是?(只填写一级域名)

既然是访问最频繁的网站,所以直接筛选HTTP流量: Statistics – HTTP – Requests,按Percent降序排列,完成。

小利的IP是多少?

从HTTP流量中可以发现发起请求最多的IP地址为192.168.12.126,从而可以判断小利的IP即为192.168.12.126

黑客的网站IP是什么?

要找黑客网站IP,首先小利肯定对黑客网站进行了访问,所以对数据包进行筛选。这里当时比赛的时候是队友发现了这条异常流量,小利访问了一个域名为www.waigua.com的网站,下载了名为万能吃鸡助手的exe可执行文件。所以猜测黑客这就是黑客网站,而小利下载的文件就是木马文件(HTTP://www.waigua.com的网站,下载了名为万能吃鸡助手的exe可执行文件。所以猜测黑客这就是黑客网站,而小利下载的文件就是木马文件)

所以黑客网站IP就是192.168.12.148

小利从黑客网站下载的文件名是什么?

从上一题的分析就知道下载的文件名是万能吃鸡助手.exe

小利的网站后台密码是多少?

比赛的时候做到这题就没有思路了,一开始想到的是可能在流量中存在登录网站后台的的数据报文,所以筛选了一波post请求
在post请求中没有发现登录相关的流量,但是发现小利向黑客的网站上传了Desktop.zip文件。

这个操作肯定不是小利自己进行的,所以猜测是小利下载并运行了从黑客网站上下载的木马文件。木马的操作就是将小利桌面的文件内容打包上传到黑客的网站。
所以将此文件导出。打开导出的.zip文件后发现没有内容

用010editor打开文件也并没有发现zip头。然后就没有思路了。

比赛结束之后找学长,学长提示后面的题目答案全在流量中提取出的压缩包内。
所以提取压缩包这个思路应该是对的,问题就出在压缩包文件内容上。
后来又仔细看了看文件内容,发现了这道题目中的坑。

zip文件的文件头为50 4B 03 04 ,而文件中的16进制的每一个字节的两个字符被反序了,所以导致了zip文件无法解析。
然后写脚本还原正确的文件

还原之后打开文件:

和之前的分析一样,木马程序的功能就是将小利桌面的文件打包并上传到黑客的网站。忽略所有的快捷方式,有效的信息只有三个,一个joomla.rar压缩文件,一个Diary.docx的word文档。一个joomla.sql数据库文件
很明显,joomla.rar压缩文件中就是小利网站的源码,
Joomla.sql文件就是小利网站的数据库文件。

而这道题目问的是小利的网站后台登录密码,很容易就能想到去数据库里面找。

打开数据库查找‘password’关键字,在文件最后看到了user表,里面有password字段,而下面的语句向这个表里面插入了数据

对应一下就可以知道加密后的密码为$2y$10$fOY7WmvLcJ2hpXaD0zZB4eZq/UoWqIkphuKvS2Eybymhu3HgZcmme
而密码解密的明文为woaini123,所以小利网站后台密码即为woaini123

小利的网站数据库密码是多少?

数据库里面一般可以在网站的配置文件里面找到。
而这道题也是一样,直接去小利个人网站的网站配置文件里面就能看到数据库的用户名和密码都是root

小利的网站可以访问后台管理登陆页面的文件名是什么?

这道题很明显,xiaoli_admin.php

小利的网站已存在的WebShell文件名是什么?

这道题肯定不能一个一个去查看文件,所以直接下载一个D盾,对目录进行扫描

直接找到Shell文件为help.php

若登陆WebShell成功时,Cookie值会被设置成多少?

找到D盾扫描出的WebShell文件

通过文件内容的一些特征可以知道这是一个silic的php大马
直接定位到登录设置Cookie的函数

如果Cookie等于设定的Cookie值,则登录成功,而这里的Cookie就是password这个变量的md5值。往上查找这个变量值

MD5一下

答案为d6ef28a5a89d8ab0c803ef11c32eee34

小利的爸爸称呼小利的妈妈什么?

最后一题答案在日记中:

这个笑话还挺好笑的

Last modified: 2020-01-22

Author