手机网站布局,网页设计师证书考什么,企业网站样板制作,做英文网站要多少钱flow analysis 1 What is the backdoor file name that comes with the server?( Including file suffix) 服务器自带的后门文件是什么#xff1f;#xff08;含文件后缀#xff09; 题目还要求最后把那个文件名MD5一下#xff0c;再去提交
开始的前三题是流量分析的含文件后缀 题目还要求最后把那个文件名MD5一下再去提交
开始的前三题是流量分析的我们就用wireshark打开看看
先从http入手就会发现d00r.php文件但是提交之后发现不是 然后在检索d00r.php时发现了一个名为ViewMore.php的文件 右键追踪TCP流发现是ViewMore.php写入的d00r.php也就是说d00r.php是后续生成的 ViewMore.phpflow analysis 2 What is the internal IP address of the server? 服务器的内部 IP 地址是什么 这里应该用刚刚door.php进行继续渗透的
如果要判断一下的话就是
http.request.uri contains d00r.php
对d00r.php 进行了命令执行并执行了ifconfig
在最后一个d00r.php中的数据流发现了两个ip地址 在它的返回包里面就会发现是下面这一个 192.168.101.132 flow analysis 3 What is the key written by the attacker to the server? 攻击者写入服务器的密钥是什么 继续追踪刚刚的数据流里面写入了一些东西 经过url解码之后得到
UEsDBBQAAQAAANgDvlTRoSUSMAAAACQAAAAHAAAAa2V5LnR4dGYJZVtgRzdJtOnW1ycl/O/AJ0rmzwNXxqbCRUq2LQid0gO2yXaPBcc9baLIAwnQ71BLAQI/ABQAAQAAANgDvlTRoSUSMAAAACQAAAAHACQAAAAAAAAAIAAAAAAAAABrZXkudHh0CgAgAAAAAAABABgAOg7Zcnlz2AE6DtlyeXPYAfldXhh5c9gBUEsFBgAAAAABAAEAWQAAAFUAAAAAAA
再经过base64解码就可以发现它是一个以PK开头的是zip文件的文件头
看到了cat /passwd的命令然后看他的返回包找到了密码
找到疑似密码7e03864b0db7e6f9解压出来就可以看到答案了 7d9ddff2-2d67-4eba-9e48-b91c26c42337 接下来就是取证的
Forensics 1 What is the key in the disk? 磁盘中的密钥是什么 用到内存取证工具vol
vol.py -f baby_forensics.raw --profileWin7SP1x64 dumpfiles -Q 0x000000003df94070 -D ./ 打开key.txt得到
E966J:Da6g_b_f_gd75a3d4ch4heg4bab66ad5drot47一下 2e80307085fd2b5c49c968c323ee25d5 Forensics 2 What is the result of running a calculator on the computer? 在计算机上运行计算器的结果是什么 vol.py -f 2023exam.raw --profileWin7SP1x64 windows windows
就是有点难找这里需要耐心的找一下 fa507c856dc4ce409ede2f3e2ab1993d
Forensics 3 What is the flag value present in this memory file? 此内存文件中存在的flag值是什么 用010打开raw文件 U2FsdGVkX195MCsw0ANs6/Vkjibq89YlmnDdY/dCNKRkixvAP6B5ImXr2VIqBSp 94qfIcjQhDxPgr9G4upA
知道是aes加密但是没有密钥
R-Studio翻最后在C:/Users/admin/Music下找到个i4ak3y.dat里面存放着key
qwerasdf为key 对于内存取证还是不太熟悉还是要加强一下的。
