陇剑杯2021-wifi题目解析

原创 于 2025-12-14 19:44:01 发布 · 583 阅读 · 12 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#web安全 #密码学 #系统安全 #安全 #网络安全
#csrf #网络

陇剑杯2021-wifi

题目描述

在这里插入图片描述

下载后得到三个文件:客户端.pcap服务端.pcapmemdump.mem
在这里插入图片描述

分析 客户端.pcap

首先点击进入 客户端.pcap 查看。
在这里插入图片描述

一片白,这代表 802.11 流量加密了底层的数据,Wireshark 无法分辨出包内的协议。但我们可以发现 WiFi 的 SSID 为 My_Wifi。根据题目提示,我们去内存镜像中查找。

分析内存镜像 (memdump.mem) - 寻找线索

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

运行 filescan 找到压缩包,但提取解压时却显示需要密码。

再根据题目提示,我们在内存镜像中查找密码(可以使用 strings 命令或 Volatility 的 strings 插件)。
在这里插入图片描述

有很多疑似密码的字符串,我们找几个有嫌疑的试试,结果第二个 (Ljbei_@#_666) 就是压缩包密码。
在这里插入图片描述

获取 WiFi 密码

解压后得到 WiFi 密码文件。
在这里插入图片描述

解密 WiFi 流量并分析

现在用得到的密码和SSID在 Wireshark 中解密 客户端.pcap 流量。
(Wireshark -> 编辑 -> 首选项 -> Protocols -> IEEE 802.11 -> Decryption Keys -> 新增 WPA-PWD)
在这里插入图片描述

解密后,我们看一下协议分级(统计 -> 协议分级)。TCP 流量最多,再结合题目提示的 upload-labs,开始追踪 TCP 流。
在这里插入图片描述

追踪流时不要傻乎乎地一个个连接地查看,我们可以找到第一个 HTTP 响应开始的位置,然后开始查看追踪流。
在这里插入图片描述

最后在第 38 个 TCP 连接的地方找到了加密数据。
在这里插入图片描述

结合在第 33 个 TCP 连接处能发现客户端已经进入了上传页面,很容易就能判断出这些数据是哥斯拉(Godzilla)加密的 webshell 流量。因此我们再去 服务端.pcap 查看。

分析 服务端.pcap - 寻找 Webshell

服务端的流量很少,有几个扎眼的 POST 请求流量。我们过滤一下 (使用过滤表达式 http.request.method == "POST"),直接提取 HTTP 对象(文件 -> 导出对象 -> HTTP)。
在这里插入图片描述

在这里插入图片描述

HTTP 流量提取出来,找到木马文件(通常是上传的 PHP 文件)。

解码 Webshell 获取解密逻辑

提取出的 Webshell 代码如下:
在这里插入图片描述

随便找个在线的 PHP 解释器或本地环境,解码木马,得到解密代码/密钥。可知数据部分通常经过 base64 编码和 gzdecode 压缩。
在这里插入图片描述

提取加密数据并解密

接着我们导出 客户端.pcap 中 TCP 流 38 的加密数据。
在这里插入图片描述

可以看到加密数据里的 Base64 格式不对,其中还有 fL1t 的字样。根据哥斯拉流量特征,我们去掉头尾各 16 位多出来的字符。然后尝试使用之前找到的密钥和解密逻辑(结合 gzdecode 解压缩)来解密。
在这里插入图片描述

获取 Flag

解密后得到 flag。
在这里插入图片描述

2021陇剑线上赛题.zip
09-28
守护数字安全,构建清朗空间!首届“陇剑网络安全大赛,全国首次“以防为主”的网络安全大赛。
2021陇剑复现
2301_80915592的博客
03-06 1394
打开然后统计--协议分级可以看到http占多数。
陇剑2021(一)
wha1e的博客
06-27 2175
陇剑2021(一)
基于[陇剑 2021]初学流量、日志分析
2401_82985722的博客
08-12 1855
工具准备:Wireshark。
陇剑之第九题WiFi之学习
shy的博客
09-29 1340
题目描述 网管小王最近喜欢上了ctf网络安全竞赛,他使用“哥斯拉”木马来玩玩upload-labs,并且保存了内存镜像、wifi流量和服务器流量,让您来分析后作答:(本题仅1小问) 答题要求 小王往upload-labs上传木马后进行了cat /flag,flag内容为_____________。(压缩包里有解压密码的提示,需要额外添加花括号) 开始解题 1、解压题目给出的压缩包,发现一个镜像、两个流量包。 2、根据题目分析,小王往服务器上传了后门文件,并且读取了flag文件,题目要去我们.
2021陇剑取证
最新发布
2303_81631620的博客
03-24 1341
题目描述一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币若干,请你通过流量和日志分析后作答:黑客所控制的C&C服务器IP是_____________。按规矩,打开以后先看协议分级,都是tcp过滤tcp的流量,看看流 ,可以直接搜索含有github字符的流量,在tcp的第15个流中,看到了黑客控制了一台服务器。
陇剑 2021 write up整理
weixin_43234021的博客
10-09 9727
竞赛 write up 收集和整理一 羊城 2021 write up收集和整理1 web2 Misc1 签到题3 Crypto4 Reverse4.1 Ez_android5 PWN 一 羊城 2021 write up收集和整理 1 web 2 Misc 1 签到题 <?php echo("SangFor{".md5("28-08-30-07-04-20-02-17-23-01-12-19")."}"); ?> 图1是二八定律(28),图2是八卦(8),图3是三十而立(30),图4是北
2021陇剑部分wp
hezhing
11-03 1624
2021陇剑 全是流量分析。麻了。只做了一部分。 参考链接 陇剑 个人 ’WriteUp‘-魔法少女雪殇 (snowywar.top) 陇剑Writeup(部分) - 惊觉 (leheavengame.com) 1.签到 题目描述: 网关小王在上网途中发现自己的网络访问异常缓慢,于是对网络出口捕获了流量,请您分析流量后进行回答: 1.1:     #### 题目:     此时正在进行的可能是http 协议的网络攻击。
2021年“陇剑“部分WP
mwmbfh的博客
09-15 2408
2021年"陇剑"部分WP一、 战队信息二、 解题情况三、 解题过程题目3.1题目3.1操作内容题目3.1flag值题目7.1题目7.1操作内容题目7.1flag值题目8.1题目8.1操作内容题目8.1flag值题目8.2题目8.2操作内容题目8.2flag值题目8.3题目8.3操作内容题目8.2flag值 一、 战队信息 战队名称:fuller 二、 解题情况 三、 解题过程 题目3.1 题目3.1操作内容 使用wireshark打开题目文件,使用筛选条件,选择发送的数据。 Ø
陇剑 2021刷题记录
orchid_sea的博客
02-18 5874
7B是URL编码中表示左花括号的字符。%7D是URL编码中表示右花括号的字符。提取出爆破出的内容为:flag{deddcd67-bcfd-487e-b940-1217e668c7db}答案:NSSCTF{deddcd67-bcfd-487e-b940-1217e668c7db}
流量分析——陇剑 2021【签到、jwt】
m0_74559567的博客
02-23 1544
其中,CFLAGS变量包含了一些编译选项,如-Werror和-Wall,分别表示将所有警告视为错误和开启所有警告。接下来的规则定义了如何从"looter.c"源文件生成"looter.so"共享库。这段代码是一个PAM模块的示例,用于在Linux系统中进行身份验证,并将用户名和密码保存到文件中。还可以解码进行验证,直接能识别到用JWT进行解码了~~~之后的流中显示的信息是没有成功攻击,继续往下分析。查看token的信息,明显的jwt认证方式。分析第16-21流,得知编译后的文件名是。
[陇剑2021] 复现
qq_61768489的博客
08-14 1878
根据上面的文章可以知道(对于PHP_XOR_BASE64加密方式来说,前后各附加了16位的混淆字符),所以我们拿到的流量要先删除前16位和后16位字符,同时Godzilla的流量还会进行一个gzip压缩,因此最外层还要用gzdecode进行一次解码。密码在网卡的GUID里,GUID 和接口绑定是绑定的,win7的wifi密码就存放在c:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces[网卡Guid]中。(请提交带有文件后缀的文件名,例如x.txt)...
[陇剑 2021]webshell
网安日记本的博客
01-20 3836
[陇剑 2021]webshell 题目做法及思路解析(个人分享)
NSSCTF[陇剑 2021]webshell
J_linnb的博客
04-24 4874
或者导出HTTP对象,一个个找,在index.php%3fm=home&a=assign_resume_tpl文件中发现了含有phpinfo()页面的东西,将其后缀变更为.html用浏览器打开,然后找到答案。追踪tcp流,在流38中发现一串十六进制代码,这是蚁剑特征的数据流 ,将=号后面的内容进行base16解码,找到答案。根据上题,1.php就是黑客上传的webshell,继续往下分析1.php可以看到frpc就是代理工具客户端。搜索whoami,在317号包发现whoami,在319号响应包有结果。
陇剑2021部分wp
欢迎关注微💌,不定期发布安全运维、甲方视角安全建设、乙方厂商专业安全服务内容。
09-15 2855
赛后看了别的师傅的wp在此复现,做个笔记好好学习。 文章目录签到1.1jwt2.12.22.32.42.52.6webshell3.13.23.33.43.53.63.7日志分析4.14.24.3内存分析6.16.2简单日志分析7.17.27.3sql注入8.18.28.3 签到 1.1 http jwt 2.1 jwt 2.2 黑客绕过验证使用的jwt中,id和username是______。(中间使用#号隔开,例如1#admin) JWT 主要由三部分组成,每部分 用 . 分割
首届“陇剑网络安全大赛题目wifi详解
u011250160的博客
09-28 3544
写文章只是为了记录自己的学习,不是粘贴复制就完事了 参考 https://www.cnblogs.com/GKLBB/p/15315725.html https://www.nctry.com/2449.html https://www.freebuf.com/sectool/285693.html 题目:https://pan.baidu.com/share/init?surl=Me0K9Hou-g1H2hSJ0KWevQ 提取码:game 文件内容 用wireshake打开客户端.cap 发现流量被加
2021 [线下]陇剑 wp
热门推荐
qq_45603443的博客
09-29 1万+
2021 [线下]陇剑 wp前言1.11.21.31.41.53.13.34.14.25.15.2Tip 前言 wp由EDI yanshu师傅投稿 ,感谢yanshu师傅。 部分题目为赛后复现。 部分题目复现方法由一些师傅提供解题思路,感谢。 题目附件获取方法在文章末尾。 1.1 导出对象 发现 6.html 中有颜文字 解开后 alert(“EBA01E64-416C-419E-9C9A-C807AD9741D2”); 1.2 全局搜X-Forwarded-For,会发现它ip是五位的,答案
2021陇剑 线下记录
weixin_45887311的博客
09-29 2547
很久没有发博客了,之前写都是存笔记,但这次觉得有必要发一下,自我感受收获挺大的一次比赛。 第一次线下做修复的题目,不知道有多少人跟我一样以为陇剑线下只有rhg赛道的pwn,结果出了10道web题,以及一堆流量包。 希望评论能交流一下题目修复的一些经验,后期还会整理数据分析的题目,学习修复姿势。 题目合集在EDI安全公众号回复 2021陇剑 即可获得 Pwn 四道题都是32位的静态编译,去掉了符号表,都是先通过f12定位到程序的函数 Rgh1 F12看字符串,找到一个/bin/sh,...
[陇剑 2021]日志分析
网安日记本的博客
01-23 2442
[陇剑 2021]日志分析 题目做法及思路解析(个人分享)
misc刷题记录(1)陇剑
2301_81841047的博客
06-14 1629
题目内容:此时正在进行的可能是__________协议的网络攻击。(如有字母请全部使用小写,填写样例:http、dns、ftp)。得到的flag请使用NSSCTF{}格式提交。打开统计,找到协议分级,发现TCP协议是占比最多的协议在TCP协议里HTTP协议占了大部分。筛选http流量,发现很多403的失败请求,故答案为http。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值