🎐清风.

下载附件中的 pcap # 题目 1 下载数据包文件 hacker1.pacapng，分析恶意程序访问了内嵌 URL 获取了 zip 压缩包，该 URL 是什么将该 URL 作为 FLAG 提交 FLAG（形式：flag {xxxx.co.xxxx/w0ks//?YO=xxxxxxx}） (无需 http、https)； 直接打开 http 流，第一条就是通信记录，翻到大段 octet-stream 的回显，前面的请求就是压缩包下载地址 flag： flag{tsdandassociates.co.sz/w0ks//?YO=1702920835} # 题目...

下载附件的 pcap 包 # 题目 1 在 web 服务器上发现的可疑活动，流量分析会显示很多请求，这表明存在恶意的扫描行为，通过分析扫描的行为后提交攻击者 IP flag 格式：flag {ip}，如：flag {127.0.0.1} 往下一划发现大量的 SYN 请求，应该是 nmap 的请求 看到来源 IP： 14.0.0.120 flag： flag{14.0.0.120} # 题目 2 找到攻击者 IP 后请通过技术手段确定其所在地址 flag 格式: flag {城市英文小写} 查一下 IP...

附件下载 pcap # 题目 1 筛选 http，追踪 http 流看到流量 密码：1 flag： flag{1} # 题目 2 流量文件第一条记录中追踪 http 流 找到末尾的 base64 编码的命令，去除头部蚁剑随机头部插入的两个字符： Y2QgIi92YXIvd3d3L2h0bWwiO2lkO2VjaG8gZTEyNGJjO3B3ZDtlY2hvIDQzNTIz base64 解码一下： cd "/var/www/html";id;echo e124bc;pwd;echo 43523 这个 CD...

下载附件中的 VM，导入到 VM 中，可以登录进去查看一下 IP 地址。 我是通过远程 SSH 连上去的。 # 题目 1 1. 找出被黑客修改的系统别名，并将倒数第二个别名作为 Flag 值提交； -bash-4.2# alias...alias userdel='printf ""'alias which='alias | /usr/bin/which --tty-only --read-alias --show-dot --show-tilde'倒数第二个是 userdel flag:...

# 题目 1 通过本地 PC SSH 到服务器并且分析黑客的 IP 为多少，将黑客 IP 作为 FLAG 提交； [root@ip-10-0-10-2 ~]# cat /www/wwwlogs/access.log | cut -d" " -f1 | sort | uniq -c 456 127.0.0.1 114 192.168.20.1flag： flag{192.168.20.1} # 题目 2 通过本地 PC SSH 到服务器并且分析黑客修改的管理员密码 (明文) 为多少，将黑客修改的管理员密码 (明文) 作为 FLAG...

# 题目 1 黑客的 IP 是？ flag 格式：flag {黑客的 ip 地址}，如：flag {127.0.0.1} 日志的位置变了，是个 phpstudy 的网站？ 直接 www 目录搜索 *.log 的文件，找到了日志 直接统计 IP 数，多的必是扫描器 [root@ip-10-0-10-4 ~]# cat /www/admin/websec_80/log/nginx_access_2023-12-2* | cut -d" " -f1 | sort | uniq -c 1 107 192.168.10.1 287734 192.168.10.135flag：...

# 题目 1 找到黑链添加在哪个文件 flag 格式 flag {xxx.xxx} 一般添加在文件包含的地方，header，footer 等里面 主题下的 header 文件有东西 root@ip-10-0-10-4:/var/www/html/usr/themes/default# cat header.php | grep 黑<h3 style="text-align:center">模拟黑链</h3>flag： flag{header.php} # 题目 2 webshell 的绝对路径...

# 题目 1 <html><title>Search Results for 香港六合彩广告【复制输入∶888888.com】1分六合彩开奖结果中奖计划98%】手机买大乐透摇一摇【复制进入∶888888.com】官方法国快3开奖结果中奖计划98%】r7a3l1b6f</title><body><h1>Search Results for...

# 题目 1 通过本地 PC RDP 到服务器并且找到黑客首次攻击成功的时间为 为多少，将黑客首次攻击成功的时间为 作为 FLAG 提交 (2028-03-26 08:11:25.123); 日志路径： C:\Program Files\Oray\SunLogin\SunloginClient\log 特征： WindowsPowerShell 找到最早出现的记录： 2024-03-26 10:16:25.585 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64247,...

# 题目 1 日志是 nginx 的日志，我用 logparser 进行检索的 请提交攻击者攻击成功的第一时间，格式：flag {YY:MM:DD hh:mm:ss} C:\Users\Administrator\Desktop\LogParser>LogParser.exe -i:NCSA -q:ON "SELECT DateTime,Request FROM access.log WHERE StatusCode=200 AND Request LIKE '%welcome%'[29/Apr/2023:14:45:23...