陇剑杯 WriteUP

前言

陇剑杯 x
Misc杯 v

解题过程

1. 签到
2. JWT
3. Webshell
4. 日志分析

5. 内存分析

   
   
   1. 分析镜像
      
   2. 直接lsadump拿密码
      vol.py -f Target.vmem --profile=Win7SP1x64 lsadump
      
   3. 放hex编辑器内
      
   4. flag{W31C0M3 T0 THiS 34SY F0R3NSiCX}
   5. 然后搜索文件vol.py -f Target.vmem --profile=Win7SP1x64 filescan | grep picture
      
   6. 找到HUAWEI关键字，然后搜HUAWEI
      vol.py -f Target.vmem --profile=Win7SP1x64 filescan | grep HUAWEI
      

   7. 把exe文件dump下来，这里有两个，其中一个有问题，都试了下就可以了。
      
      

   8. 安装解压后，得到文件夹包。
      

   9. 网上找到一个解压华为备份包的脚本
      https://github.com/RealityNet/kobackupdec

   10. 然后跑一下脚本，在镜像文件下也有一个tips，把第一个的flag空格转为下划线。

   11. python3 W31C0M3_T0_THiS_34SY_F0R3NSiCX
       
       我这边已经跑过，所以不会出现代码debug行。
       

   12. 解压得到flag图片
       
       

6. 简单日志分析

7. SQL注入

8. IOS

   
   
   1. 打开流量包后，搜索http，然后追踪流发现了这个ip与局域网ip的异常交流
      
      
   2. 然后黑客ip就是3.128.156.159
   3. GitHub项目名称为Stowaway
   4. 执行的密钥明文为hack4sec