首届“陇剑杯”网络安全大赛
一、(签到)网管小王在上网途中发现自己的网络访问异常缓慢,于是对网络出口捕获了流量,请您分析流量后进行回答:(本题仅1小问)

附件:签到.zip

  1. 此时正在进行的可能是__协议的网络攻击。(如有字母请全部使用小写,填写样例:http、dns、ftp)
    二、(JWT)昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答:

    附件:jwt.zip

  2. 该网站使用了__认证方式。(如有字母请全部使用小写)
    2. 黑客绕过验证使用的jwt中,id和username是__。(中间使用#号隔开,例如1#admin)
    3. 黑客获取webshell之后,权限是__
    4. 黑客上传的恶意文件文件名是_。(请提交带有文件后缀的文件名,例如x.txt)
    5. 黑客在服务器上编译的恶意so文件,文件名是_。(请提交带有文件后缀的文件名,例如x.so)
    6. 黑客在服务器上修改了一个配置文件,文件的绝对路径为_。(请确认绝对路径后再提交)
    三、(webshell)单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:

    附件:webshell.zip

  3. 黑客登录系统使用的密码是_
    2. 黑客修改了一个日志文件,文件的绝对路径为_。(请确认绝对路径后再提交)
    3. 黑客获取webshell之后,权限是__
    4. 黑客写入的webshell文件名是_。(请提交带有文件后缀的文件名,例如x.txt)
    5. 黑客上传的代理工具客户端名字是_。(如有字母请全部使用小写)
    6. 黑客代理工具的回连服务端IP是_
    7. 黑客的socks5的连接账号、密码是__。(中间使用#号隔开,例如admin#passwd)
    四、(日志分析)单位某应用程序被攻击,请分析日志,进行作答:

    附件:日志分析.zip

  4. 网络存在源码泄漏,源码文件名是_。(请提交带有文件后缀的文件名,例如x.txt)
    2. 分析攻击流量,黑客往/tmp目录写入一个文件,文件名为_
    3. 分析攻击流量,黑客使用的是__类读取了秘密文件。
    五、(流量分析)某天晚上,X单位的网站被黑客入侵了,管理员从单位网络出口捕获采样流量,请您分析流量进行回答:

    附件:流量分析.zip

  5. 攻击者的IP是_
    2. 攻击者所使用的会话密钥是_
    3. 攻击者所控制的C&C服务器IP是_
    六、(内存分析)网管小王制作了一个虚拟机文件,让您来分析后作答:

    附件:内存分析.7z

  6. 虚拟机的密码是_。(密码中为flag{xxxx},含有空格,提交时不要去掉)
    2. 虚拟机中有一个某品牌手机的备份文件,文件里的图片里的字符串为_。(解题过程中需要用到上一题答案中flag{}内的内容进行处理。本题的格式也是flag{xxx},含有空格,提交时不要去掉)
    七、(简单的日志分析)某应用程序被攻击,请分析日志后作答:

    附件:简单日志分析.zip

  7. 黑客攻击的参数是__。(如有字母请全部使用小写)
    2. 黑客查看的秘密文件的绝对路径是_
    3. 黑客反弹shell的ip和端口是_。(格式使用“ip:端口”,例如127.0.0.1:2333)
    八、(SQL注入)某应用程序被攻击,请分析日志后作答:

    附件:SQL注入.zip

  8. 黑客在注入过程中采用的注入手法叫_。(格式为4个汉字,例如“拼搏努力”)
    2. 黑客在注入过程中,最终获取flag的数据库名、表名和字段名是_。(格式为“数据库名#表名#字段名”,例如database#table#column)
    3. 黑客最后获取到的flag字符串为_
    九、(wifi)网管小王最近喜欢上了ctf网络安全竞赛,他使用“哥斯拉”木马来玩玩upload-labs,并且保存了内存镜像、wifi流量和服务器流量,让您来分析后作答:(本题仅1小问)

    附件:wifi.zip

  9. 小王往upload-labs上传木马后进行了cat /flag,flag内容为_。(压缩包里有解压密码的提示,需要额外添加花括号)
    十、(IOS)一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币若干,请你通过流量和日志分析后作答:

    附件:ios.zip

  10. 黑客所控制的C&C服务器IP是_
    2. 黑客利用的Github开源项目的名字是__。(如有字母请全部使用小写)
    3. 通讯加密密钥的明文是__
    4. 黑客通过SQL盲注拿到了一个敏感数据,内容是__
    5. 黑客端口扫描的扫描器的扫描范围是__。(格式使用“开始端口-结束端口”,例如1-65535)
    6. 被害者手机上被拿走了的私钥文件内容是__
    7. 黑客访问/攻击了内网的几个服务器,IP地址为__。(多个IP之间按从小到大排序,使用#来分隔,例如127.0.0.1#192.168.0.1)
    8. 黑客写入了一个webshell,其密码为__
    十一、一日网管中心的安全审计设备推送了一则高危入侵警报,经过了解发现有一台机密容器因违规操作遭遇入侵与破坏,容器宿主机内只留下了一段机密容器的内存与部分经过篡改的神秘文件,请你帮助还原容器的入侵过程。(下载链接在比赛公告里,该大文件的解压密码为cf15e15d7054da59fb20e99d943294a7)

    附件:https://pan.baidu.com/s/1WZJs3jTK30od8t0tZqHdWQ(提取码:GAME)

  11. 取证人员首先对容器的基本信息进行核实,经过确定该容器的基本信息为__。(答案为32位小写md5(容器操作系统系统的版本号+容器主机名+系统用户名),例如:操作系统的版本号为10.0.22449,容器主机名为DESKTOP-0521,系统登录用户名为admin,则该题答案为32位小写md5(10.0.22449DESKTOP-0521admin) 的值ae278d9bc4aa5ee84a4aed858d17d52a)
    2. 黑客入侵容器后曾通过木马控制端使用Messagebox发送过一段信息,该信息的内容是__。(答案为Messagebox信息框内内容)
    3. 经过入侵分析发现该容器受到入侵的原因为容器使用人的违规进行游戏的行为,该使用人进行游戏程序的信息是__。(答案为“32位小写md5(游戏程序注册邮箱+游戏程序登录用户名+游戏程序登录密码),例如:注册邮箱为adol@163.com,登录用户名为user,密码为user1234,则该题答案为” adol@163.comuseruser1234”的小写md5值5f4505b7734467bfed3b16d5d6e75c16)
    4. 经过入侵分析发现该容器曾被黑客植入木马控制的信息是_。(答案为“32位小写md5(木马程序进程名+木马回连ip地址+木马回连ip端口)”,例如:木马程序进程名为svhost.exe,木马回连ip为1.1.1.1,木马回连端口为1234,则该题答案为“svhost.exe1.1.1.11234”的32位小写md5值f02da74a0d78a13e7944277c3531bbea)
    5. 经过入侵分析,发现黑客曾经运行过痕迹清除工具,该工具运行的基本信息是__。(答案为“32为小写md5”(痕迹清除工具执行程序名+最后一次运行时间),例如:黑客运行工具执行程序名为run.exe,运行时间为2021-07-10 10:10:13,则本题的答案为小写的32位md5(run.exe2021-07-10 10:10:13) 值为82d7aa7a3f1467b973505702beb35769,注意:本题中运行时间的格式为yy-mm-dd hh:mm:ss,时间时区为UTC+8)

参考:

文件下载链接引用2021陇剑杯(流量杯🤷‍♂️)