2021陇剑杯（真流量分析与取证杯）题目复现_陇剑杯 2021 流量题下载-CSDN博客

　　JWT

　　看session很明显使用了jwt

　　id和username需要去解jwt就可以得到

　　坑点：不要只看前半部分迷惑流量

　　没有的到权限所以说这部分流量可以忽略，往后翻

　　这条流量权限就变成了root，所以这个session才是正确的

　　解出来id=10087 username=admin

　　文件就是1.c

　　编译恶意文件名为looter.so文件，在后边的流量中也是可以看到的

　　修改的配置文件

　　SQL注入

　　附件是access.log日志文件，里边就是sql注入-布尔盲注的数据包

　　前边的不用看

　　这条就包含了数据库sqli，表明flag，字段名flag，值需要根据盲注数据逐个判断 webshell

　　用户名和密码在tcp第6个流中可以看到

　　接着翻好久找到写入的文件

　　获取webshell的权限

　　使用的代理工具为frpc

　　将提下tiem的值16进制编码转换下

　　得到回连服务器ip和地址以及socks5连接账号密码

　　简单日志分析

　　也是一个日志文件，有三个是500的，而且比较长很明显

　　绝对路径

　　反弹ip和端口，最好先url解码，在base64解码

　　日志分析

　　和上题一样的套路，看响应码，源码文件www.zip

　　/tmp目录写的文件

　　反序列化漏洞 内存取证

　　附件是一个vmem文件

　　tips.txt内容

　　先通过 imageinfo 获取系统信息

　　获取用户名

　　获取最后登陆的用户

　　可以使用minikatz插件获取flag

　　kali自带的volatility安装插件

　　然后没成功。。。试了github issue的方法也不行，估计是python 23共存的问题

　　其他师傅复现的wp

　　IOS

　　黑客控制的IP是

　　工具就是下一个包链接

　　通讯加密密钥的明文，可以打开上边那个工具的主页，看下readme

　　就是hack4sec

　　使用题目给出的密钥去解密流量

　　设置->首选项->TLS导入文件

　　底部发现大量http2协议内容

　　HTTP/2 是 HTTP 网络协议的一个重要版本。 HTTP / 2的主要目标是通过启用完整的请求和响应多路复用来减少延迟，通过有效压缩HTTP标头字段来最小化协议开销，并增加对请求优先级和服务器推送的支持。 HTTP/2 不会修改HTTP 协议的语义。

　　黑客端口扫描的扫描器的扫描范围，流量中有很多的dest的地址

　　师傅们wp

　　日志中有一个

　　流量中有一个

　　黑客写入的webshell就是上面日志中的密码是fxxk WIFI

　　http://www.snowywar.top/?p=2554