什么样的网站域名好,做明星同款的网站,江阴哪家做网站便宜,小米发布会直播在线题目位置#xff1a;https://www.nssctf.cn/上有 陇剑杯 2021 1. 签到题题目描述分析答案小结 2. jwt问1析1答案小结 问2析2答案小结 问3析3答案 问4析4答案 问5析5答案 问6析6答案 3. webshell问1析1答案 问2析2答案 问3析3答案 1. 签到题
题目描述
此时正在进行的可能是_…题目位置https://www.nssctf.cn/上有 陇剑杯 2021 1. 签到题题目描述分析答案小结 2. jwt问1析1答案小结 问2析2答案小结 问3析3答案 问4析4答案 问5析5答案 问6析6答案 3. webshell问1析1答案 问2析2答案 问3析3答案 1. 签到题
题目描述
此时正在进行的可能是__________协议的网络攻击。如有字母请全部使用小写填写样例http、dns、ftp。得到的flag请使用NSSCTF{}格式提交。
分析
wireshark打开下载的附件Good.pcapng 查看统计出的协议分级 在TCP协议里HTTP协议占了大部分。 过滤http协议发现大量的403返回提示请求失败
答案
答案NSSCTF{http}
小结
考察流量包中的协议统计Wireshark - 统计 - 协议分级。HTTP全称是 HyperText Transfer Protocol中文叫做超文本传输协议。它是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP 协议是应用层协议主要解决如何包装数据是基于TCP连接的。
2. jwt
问1
昨天单位流量系统捕获了黑客攻击流量请您分析流量后进行回答 该网站使用了______认证方式。如有字母请全部使用小写。得到的flag请使用NSSCTF{}格式提交。
析1
wireshark打开下载的附件goroot.pcapng 追踪TCP流在tcp.stream eq 1 发现通过token认证登录
答案
答案NSSCTF{jwt}
小结
常见的登录认证方式OAuth 令牌授权、Cookie\Session认证、Token认证。基于JWT的Token认证JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。 JWT是由三段信息构成的将这三段信息文本用小数点连接就构成了Jwt字符串。JWT组成第一部分header放入token的类型“JWT”和算法名称RS256等第二部分payload放入用户的不敏感信息用户id等第三部分signature根据不公开的秘钥加上header中声明的算法生成特定的签名。最终三部分组合起来即形成了token发送给客户端。
问2
昨天单位流量系统捕获了黑客攻击流量请您分析流量后进行回答 黑客绕过验证使用的jwt中id和username是______。中间使用#号隔开例如1#admin。得到的flag请使用NSSCTF{}格式提交。
析2
执行whoami时前面都提示需要管理员权限 在tcp.stream eq 10中执行命令成功回显root因此该处的token为所需的数据。 对应的token为 tokeneyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODcsIk1hcENsYWltcyI6eyJ1c2VybmFtZSI6ImFkbWluIn19.rurQD5RYgMrFZow8r-k7KCP13P32sF-RpTXhKsxzvD0 对其进行base64解密
答案
答案NSSCTF{10087#admin}
小结
JWT的token认证生成 jwt生成的token是由三段字符串拼接而成使用连接起来。第一、二部分可以通过Base64解密得到但第三部分不可以!
当前题目中 tokeneyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODYsIk1hcENsYWltcyI6eyJhdWQiOiJhZG1pbiIsInVzZXJuYW1lIjoiYWRtaW4ifX0.dJArtwXjas3_Cg9a3tr8COXF7DRsuX8UjmbC1nKf8fc
token的第一段字符串:由json数据{“alg”:“HS256”,“typ”:“JWT”}通过base64(可逆)加密算法得到。
alg: HS256 //第三段字符串的不可逆加密类型HS256
typ: JWT //token类型JWTtoken的第二段字符串:是由payload信息{“id”:10087,“MapClaims”:{“username”:“admin”}}通过base64(可逆)加密算法得到。
payload信息为自定义值一般不放敏感信息
id:10087 //用户id
MapClaims //这是一个嵌套的JSON对象其中包含了特定的声明claims。在JWTJSON Web Tokens和其他认证协议中声明是用来传递有关主题通常是用户的信息。
username:admin //用户名信息token的第三段字符串构成先将第一段和第二段的密文拼接起来然后对拼接起来的密文字符串和自定义的盐进行上边指定的HS256加密最后对HS256加密后的密文再做base64加密。
问3
昨天单位流量系统捕获了黑客攻击流量请您分析流量后进行回答 黑客获取webshell之后权限是______。得到的flag请使用NSSCTF{}格式提交。
析3
根据第二小题中可知最终提权得到的管理员用户是root。 在TCP流tcp.stream eq 30中查看/tmp目录时也得到了验证
答案
答案NSSCTF{root}
问4
昨天单位流量系统捕获了黑客攻击流量请您分析流量后进行回答 黑客上传的恶意文件文件名是_____________。(请提交带有文件后缀的文件名例如x.txt)。得到的flag请使用NSSCTF{}格式提交。
析4
在TCP流tcp.stream eq 13中将命令执行结果传入了/tmp/1.c文件中
答案
答案NSSCTF{1.c}
问5
昨天单位流量系统捕获了黑客攻击流量请您分析流量后进行回答 黑客在服务器上编译的恶意so文件文件名是_____________。(请提交带有文件后缀的文件名例如x.so)。得到的flag请使用NSSCTF{}格式提交。
析5
在tcp.stream eq 16中 解密此命令发现文件looter.so
答案
答案NSSCTF{looter.so}
问6
昨天单位流量系统捕获了黑客攻击流量请您分析流量后进行回答 黑客在服务器上修改了一个配置文件文件的绝对路径为_____________。请确认绝对路径后再提交。得到的flag请使用NSSCTF{}格式提交。
析6
在第25个TCP流中 在第26个TCP流中将结果输入到/etc/pam.d/common-auth 在第27个TCP流中查看执行结果
答案
答案NSSCTF{/etc/pam.d/common-auth}
3. webshell
问1
单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客登录系统使用的密码是_____________。。得到的flag请使用NSSCTF{}格式提交。
析1
wireshark打开下载的附件hack.pcap 根据常见的登录关键词过滤 查看到输入的用户名和密码追踪该用户是否成功登录返回200
答案
答案NSSCTF{Admin123!#}
问2
单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客修改了一个日志文件文件的绝对路径为_____________。请确认绝对路径后再提交。得到的flag请使用NSSCTF{}格式提交。
析2
根据Logs关键词查找 追踪TCP流25 得到日志文件的相对路径。可根据常见服务器根目录/var/www/html拼接成绝对路径。 使用pwd关键词过滤
分析tcp流31 发送pwd命令请求成功回显200 返回的信息中包含了根目录/var/www/html。
答案
答案NSSCTF{/var/www/html/data/Runtime/Logs/Home/21_08_07.log}
问3
单位网站被黑客挂马请您从流量中分析出webshell进行回答 黑客获取webshell之后权限是______得到的flag请使用NSSCTF{}格式提交。
析3
答案
未完待续。。。哈哈哈哈明天继续
