2024年第四届“网鼎杯”网络安全大赛青龙组 MICS-WriteUp

一、前言

两年一届的网络安全"奥运会"也是有幸参加！是一个非常有意思的比赛，其余附件及需要的工具已打包完毕~

123网盘下载：

https://www.123684.com/s/q2J1jv-MuJvd提取码:0905 提取码:0905

二、MISC

MISC01

在这里插入图片描述

解题思路

附件下载，得到一个zip，解压得到一个MME.cap文件，一开始还没见过后缀以.cap结尾的文件，还是wirshark自动识别出是流量包，也才知道是流量的，那这里既然提到了，我们干脆来简单说说以.cap结尾的文件吧：

简单来说以结尾的文件通常是数据包捕获文件，用来存储网络通信数据，记录网络中不同设备之间传输的原始数据包信息。它们可以用于分析网络流量、故障排除、检测安全事件等。（那这里估计就是让我们分析了）

详细分析：

数据来源：文件一般由网络协议分析工具生成，如Wireshark、tcpdump等，这些工具可以在网络接口上捕获到的每一个数据包，并将其存储在文件中。
文件内容：文件记录了传输层、网络层以及应用层协议的信息。通过分析文件可以看到：
- 源IP和目标IP地址。
- 传输的协议（如TCP、UDP、HTTP等）。
- 包的内容，包括传输的数据和协议头信息。
- 具体的数据包时间戳、大小等。

通常用Wireshark打开文件，通过过滤器和视图选项可以深入查看和分析每个数据包的详细信息。

那这里有的师傅可能有疑问了，那这个与普通的.pacp流量包有什么区别嘛？

文件格式：
- （Packet Capture）：是由libpcap（Linux/macOS）和WinPcap（Windows）库生成的一种标准格式，广泛用于跨平台的数据包捕获。格式被Wireshark、tcpdump等多种分析工具支持，通用性较强。
- ：是一种数据包捕获文件的通用扩展名，不是特定的格式。文件可能采用不同的文件格式（如或其他厂商自定义格式），具体取决于生成它的工具。
兼容性：
- ****文件具有较好的跨平台兼容性，几乎所有主流网络分析工具都可以打开和解析。
- ****文件可能是不同工具生成的专有格式（如AirPcap、SharkTap等），部分工具可能无法直接打开，需要转换成格式以便分析。
扩展名的使用场景：
- 有时被用于厂商特定的捕获文件，或者用于包含无线数据的文件，可能包含其他格式或加密信息。
- 更常用于标准化的网络数据包分析，尤其在开放和跨平台的环境中被广泛使用。

一般来说，通过Wireshark等分析工具将文件转换为格式可以提高兼容性，便于后续分析处理。

那我们就暂时拓展到这里，现在植入主题吧，首先就是打开MME.cap流量包看看它的协议分级情况：

在这里插入图片描述

不难看出，没有几个我们熟悉的协议，那能咋办？反正也没断网，我们直接百度一下看看这个diameter是个什么东西：

Diameter协议摘要

在这里插入图片描述

Diameter协议

在这里插入图片描述

也是简单看了几篇文章，对diameter也有了个简单的了解，再结合题目描述：某单位网络遭到非法的攻击，安全人员对流量调查取证之后保存了关键证据，发现人员的定位信息存在泄露，哎！捕捉关键词"定位信息"！

那这里提示也是很明显了，就是让我们在流量包中找到可疑的定位信息呗！

那我们这里直接过滤出了diameter协议来进行分析，发现也没多少条记录：

在这里插入图片描述

那既然筛选出来了，那到底需要找什么呢？我们也不是很了解这个协议，没关系，通过拷打GPT以及队友的帮助，再加上协议数量也不多，再加上“定位信息”这个提示，我们也是成功把范围锁定在了：Diameter协议中，MME（Mobility Management Entity）-Location-Information，那为什么呢？因为它包含用户的E-UTRAN（Evolved Universal Terrestrial Radio Access Network）小区全局标识（ECGI），这样就可以更为精确定位用户的所在位置。

因为对这个协议也不是很熟悉也是翻啊翻啊翻啊~再经过师傅们不知道多少的MD5加密提交之后，终于也是锁定在了包大小为"410"中！

那可能有的师傅就有疑问了，为什么你们可以锁定呢？有什么依据嘛？是去某鱼一把梭了？

因为在查找中发现这个：64f80099f4既然是小区全球识别码！

是一种E-UTRAN小区全局标识（ECGI）的十六进制表示，用于标识全球范围内唯一的小区。ECGI是LTE网络中一个关键参数，它结合了移动国家码（MCC）、移动网络码（MNC）和小区标识（Cell ID）来定义小区的唯一性。

简要说明：

ECGI组成：
- MCC（移动国家码）：代表该小区所属的国家。
- MNC（移动网络码）：标识运营商网络。
- Cell ID：特定小区的唯一标识符。
的含义：
- 该十六进制数值表示ECGI编码，小区全局标识可能以不同编码格式展示。
- 转换后可得出具体的 MCC、MNC 和 Cell ID 信息，从而了解其所在国家、运营商和具体小区位置。
用途：
- 这种唯一的全球标识支持全球漫游、切换等功能，通过该标识，网络可以精准识别和定位用户当前的小区位置，用于流量管理、计费、资源分配等。

简而言之，提供了全球唯一的小区识别能力，确保网络和用户定位的精确性。

在这里插入图片描述

那这时候可能有的师傅就着急了，翻了那么久，直接就拿这个进行MD5加密就去提交了（我就干过），但是答案还不对哈，因为真正的答案还不在这！

我们看到它的上面一条数据：E-UTRAN-Cell-Global-Identity: 802f208f26ae77

（ECGI，E-UTRAN小区全局标识）用于唯一标识LTE网络中的一个小区，而是其具体的16进制编码形式。

详细解释：

ECGI组成：
- 移动国家码（MCC）：前3个字节表示国家。
- 移动网络码（MNC）：紧随其后的3个字节标识网络运营商。
- 小区标识（Cell ID）：最后部分用于标识具体小区。
的含义：
- 该16进制字符串编码了特定的MCC、MNC和Cell ID，可通过解码提取这些信息。
- 转换成十进制后，可以解析出国家、网络运营商和小区信息。
ECGI用途：
- 作为小区的全球唯一标识，ECGI在漫游、切换和用户定位等场景中非常关键，确保了用户的连接在跨越不同小区时的连续性。

简单来说，是一个ECGI值，它通过唯一编码的形式实现对特定小区的全球定位与标识。

在这里插入图片描述

MD5在线加密

在这里插入图片描述

最后根据题目要求：flag为用户位置信息进行32位md5哈希值

那我们直接对：802f208f26ae77，进行MD5加密进行提交，答案正确！

至此

很新型的一种MISC题目类型昂！

MICS02

在这里插入图片描述

解题思路

附件下载，得到一个zip，正常解压发现还是需要点解压时间，最后得到一个空白的flag文件，简单看一下文件属性，也难怪要解压一会，发现它的大小既然来到了惊人的2G！

在这里插入图片描述

这边我们也是提取拿到了具体的WP，所以话不多说我们直接对flag文件进行foremost的分离：

在这里插入图片描述

直接对分离出的PNG图片中最大的那一张进行"zsteg"检测并提取隐藏数据，最大的图片：

在这里插入图片描述

得到了部分的密码：Y3p_Ke9_1s_???，但是不难看出它是不全的，毕竟谁家密码后面是几个问号你说对吧？

接着我们返回flag空白文件中，使用010打开来进行分析，你可以发现许多的7z压缩包的痕迹，那到底哪一个才是真正的7z压缩包呢？

010打开flag空白文件发现很多个7z

在这里插入图片描述

是最后一个7z才是真正的压缩包，那我们直接定位到最后一个，手动导出一下：

最底下的7z才是真正的压缩包

在这里插入图片描述

那我们直接手动选中底下全部的复制粘贴一下，并且新建一个十六进制文本，最后粘贴进去，并且Ctrl+s保存为123.7z压缩包即可：

在这里插入图片描述

这时候我们在返回桌面打开我们刚刚导出的7z压缩包，会发现需要密码：

在这里插入图片描述

那刚刚找到的密码就派上用场了，但问题又来了，密码不全啊，那怎么办呢？那这里我们有两种方法，这里我都来操作一下：

方法一：

使用hashcat来进行掩码爆破，那我们首先要先使用脚本生成123.7z的hash值，脚本如下：（已打包至题目附件中）

这里我用的kali来进行操作，命令如下：

在这里插入图片描述

得到；

新建一个新的12.hash文本，将123.7z生成的hash值复制进去即可：

在这里插入图片描述

接着使用hashcat进行掩码爆破（用的是kali中自带hashcat~）

命令；

命令解析：

：指定哈希模式，这里表示解密基于PBKDF2-HMAC-SHA1的哈希。
：选择攻击模式，这里表示使用暴力破解（mask attack），即基于掩码的猜测攻击。
：指定包含待破解哈希值的文件（即文件）。
：设置掩码，用于猜测密码的格式：
- ：指定密码的已知部分；
- ：掩码符号表示每个位置尝试数字字符，长度为5，因此Hashcat会尝试组合所有五位数字，以匹配未知部分。
：启用优化内核。这会加速破解，但也会限制最大密码长度（通常20字符以内）。
：设置工作负载模式，这里表示最高级别（即极高的资源占用和性能需求）。
：指定输出文件，将破解结果保存到文件。
：强制运行Hashcat，即便检测到潜在兼容性或性能问题。

那这里就等它爆破完成就好了，爆破的时间还是蛮久的，而且123.7z压缩包是动态的，也就是每个人爆破出来的密码都是不一样的，不能直接用别人的噢，只能老老实实的等爆破完成~

在这里插入图片描述

爆破完成

在这里插入图片描述

打开我们的111.txt，里面的这个才是真正的密码：Y3p_Ke9_1s_59418

方法二：

使用ARCHPR来进行爆破（注意版本必须！！4.66往上！要不然不支持.7z爆破！！！没有的师傅也没关系，这里已经打包完毕一并放在附件中！！！）

在这里插入图片描述

这边爆破的时间也是蛮久的（每个人的密码都是动态的），我的大概百分之59左右才出！

在这里插入图片描述

也是可以爆出：Y3p_Ke9_1s_59418

方法不唯一，仅供参考！！！

那我们打开zip

在这里插入图片描述

得到一个flag.txt，打开flag.txt，发现这还并不是flag：

flag.txt

在这里插入图片描述

内容如下：

大致看了一下发现是python的字节码，这段代码的核心作用是使用一个密钥生成函数和加密算法，对进行加密得到，那这里我们去别的师傅那偷一个脚本过来：

脚本如下：

注意！！！每个人的magic_key都是动态的，注意修改自己的脚本！！！

脚本分析！

原始密钥转换：作为一个16进制字符串，将其中每个字符转换为整数，形成列表。
第一轮异或操作：将列表从头开始，以每两个元素为一组，对第一个元素与第二个元素做异或运算。这样会混淆原始数据的部分信息。
第二轮异或操作：从列表的第二个位置开始，将每个元素与其前一个元素（实际上是倒序方向的元素）进行异或运算，进一步混淆数据。
生成新的密钥字符串：将处理过的列表再次转换为16进制字符串，形成新的密钥。
生成加密结果：将与逐位进行异或，最终生成一个加密的16进制字符串。

得到的SM4的密钥为：5ee07753b2092b5c

最后我们直接使用厨子解SM4得到flag：wdbflag{4c7807c127d64edafe23b4307de7f4dc}

在这里插入图片描述

至此；

因为这里是跟着wp复现嘛，所以就没有那么多做题时思考的思路，详细思路请至：2024 网鼎杯网络安全大赛 Misc Writeup

MISC03

在这里插入图片描述

解题思路

附件下载，得到一个zip，解压出来得到c.pcap，不难看出这又是一题流量分析，不过相比于MISC01这里好了很多，毕竟也没给一个陌生的.cap后缀嘛，那我们使用wirshark打开进行分析，仔细观察题目的要求：找出攻击者的攻击IP，话说这题咋那么眼熟呢？流量？攻击者IP？玄机流量分析？

简单看看协议分级，发现存在HTTP的，果断筛选出来进行分析：

在这里插入图片描述

哎，发现一筛选，很快就发现了黑客上传了hacher.php

在这里插入图片描述

这题其实最笨的办法就是，看见的IP都一个一个提交一遍，当然IP少可以这样做，这里就不是很多，所以随便提交一下就发现正确了，那这样显然不能达到我们学习的效果，那这里我们来说说为什么可以确定黑客的IP就是：39.144.218.183

追踪分析一下hacher.php看看：

在这里插入图片描述

URL解码得到：

在这里插入图片描述

简单分析一下

环境配置：
- 使用隐藏错误输出，避免暴露信息。
- 设置脚本无时间限制，以便长时间运行。
- 检查并修改配置，以绕过目录限制，获取更多系统访问权限。
临时目录创建与切换：
- 尝试在多目录位置创建临时目录，用于绕过系统目录访问限制。
- 改变工作目录到临时目录，随后用来进一步尝试突破文件系统限制。
- 之后脚本切换回原目录并删除该临时目录，隐蔽自己的痕迹。
主要功能：文件管理器：
- 函数和处理输出内容，分别负责包装和输出数据。
- 通过解码用户请求中的目录路径。
- 以打开该路径，若路径不存在或无权限，则返回相应错误。
- 如果有权限，则遍历该目录下的文件及文件夹，获取文件的修改时间、大小和权限。
- 将这些信息收集整理并输出，最终通过格式化输出。
流量解码分析：
- 是发送的一个参数，内容经过编码。解码后得到，这是目标服务器上的路径。
- 整个请求目的是访问并遍历这个上传目录，可能用于窃取或删除文件。

总结

这段代码是一种常见的PHP后门，具备绕过目录限制和访问服务器文件的功能。攻击者可以通过发送指定参数，获取服务器文件信息或执行进一步的恶意操作。这类恶意代码通常用于攻击服务器，窃取敏感数据或进行下一步的恶意操作。

蚁剑前两位不需要，所以就是：L3Zhci93d3cvaHRtbC91cGxvYWRzLw==

具体解释就是：其中的前两位不解码，是因为这部分可能是伪装用的填充数据，目的是混淆或绕过某些过滤机制，避免被检测为base64编码。这种做法在恶意流量中比较常见，攻击者通过手动混入字符来使检测机制更难识别这些内容。

在这里插入图片描述

很快就发现了攻击者上传的文件路径

所以这题的大致思路就是：39.144.218.183（攻击者的IP）上传了一个hacker.php，用AntSword连接并执行了一句命令，也就是我们俗称的：蚁剑

在这里插入图片描述

至此：

MICS04

在这里插入图片描述

解题思路

附件下载，得到一个zip，解压出一张图片，图片如下：

在这里插入图片描述

感觉有点眼熟，之前有在某个群见过，去看了下，是叫皮亚诺曲线，也是头一回接触，没啥好讲解的，这里就直接上脚本吧！

脚本如下：

简单分析：

Peano曲线生成：
- 通过递归调用函数生成Peano曲线，表示曲线的阶数。每一级递归生成的曲线是在前一级曲线上不断延伸，最终得到一个二维坐标列表，每个坐标点依次代表在图像中的一个位置。
图像像素重排列：
- 打开源图像，初始化一个新的空白图像，大小与原图像一致。
- 使用中的坐标点，从源图像获取像素值，并将这些像素按顺序放置到新图像的对应位置上，实现重排。
保存重排后的图像：
- 将新的图像保存为。