misc刷题记录（1）陇剑杯

[陇剑杯 2021]签到

题目内容：此时正在进行的可能是__________协议的网络攻击。（如有字母请全部使用小写，填写样例：http、dns、ftp）。得到的flag请使用NSSCTF{}格式提交。

打开统计，找到协议分级，发现TCP协议是占比最多的协议

在TCP协议里HTTP协议占了大部分。筛选http流量，发现很多403的失败请求，故答案为http

[陇剑杯 2021]jwt

1.该网站使用了______认证方式。（如有字母请全部使用小写）。得到的flag请使用NSSCTF{}格式提交。
2.黑客绕过验证使用的jwt中，id和username是______。（中间使用#号隔开，例如1#admin）。得到的flag请使用NSSCTF{}格式提交。
3.黑客获取webshell之后，权限是______？。得到的flag请使用NSSCTF{}格式提交。
4.黑客上传的恶意文件文件名是_____________。(请提交带有文件后缀的文件名，例如x.txt)。得6到的flag请使用NSSCTF{}格式提交。
5.黑客在服务器上编译的恶意so文件，文件名是_____________。(请提交带有文件后缀的文件名，例如x.so)。得到的flag请使用NSSCTF{}格式提交。
6.黑客在服务器上修改了一个配置文件，文件的绝对路径为_____________。（请确认绝对路径后再提交）。得到的flag请使用NSSCTF{}格式提交。

第一题：

首先，补充知识点

网站使用的认证方式主要有：

Session机制
JWT
OAuth2
Cookie
HTTP Basic Auth
OpenID Connect
双因素认证

JWT：头部、载荷和签名三段数据以.分隔，通过base64进行加密。第一部分header，放入token的类型（“JWT”）和算法名称（RS256等）；第二部分payload，放入用户的不敏感信息（用户id等）；第三部分signature，根据不公开的秘钥加上header中声明的算法，生成特定的签名。最终三部分组合起来即形成了token，发送给客户端。

也可以通过解密来判断

在tcp流量1中，追踪tcp流，就可以找到token

所以第一题答案，为jwt。

第二题：

这里的思路是，既然要找绕过验证以后的id和username，那么也就是说，要找的时间段应该要在获得了root权限的时候，那后面基本就是手搓root了

这里我是通过对tcp流和对反馈信息的筛选，以及对状态码的响应定位到了一个大致可能嫌疑的位置，因为从这里开始，状态码就开始了一直是响应成功的状态，而且，后面请求的页面也开始变得稳定，所以选择定位在这里。

然后追踪TCP流

在tcp.stream eq 10中，执行命令成功回显root，因此该处的token为所需的数据，按下面的知识点所写的那样，用base解码token的第二段内容，就可以找到username和id

当然，按照规范的做题思路，应该是去检索在whoami这个字符串（whoami 命令是一个简单且实用的工具，用于快速查看当前操作系统会话中的用户身份信息。）

可以定位到这两个，在这两个里面都有root的信息，解jwt的第二部分以后，都可以获得相同的信息

所以答案为

10087#admin

第三题：

在第二题的弹窗信息中，可以知道，权限为root，同时，也可以在tcp.stream eq 30中找到相关的信息

所以答案为 root

第四题：

在whoami后续的流量中，可以找到

这个1.c文件，在后面的流量中，也有对这个文件的操作的记录

所以答案1.c

第五题

因为这里已经给了文件的相关信息，所以可以直接通过过滤的命令直接检索到相关文件，也可以通过把可疑的1.c文件翻译出来，也可以看见相关的文件创造信息，这个图是导出翻译后的1.c文件

这段代码是一个PAM模块的示例，用于在Linux系统中进行身份验证，并将用户名和密码保存到文件中。PAM（Pluggable Authentication Modules）是一种用于 Unix/Linux 系统的认证架构，允许灵活配置和管理用户认证过程。它通过调用配置的认证模块来验证用户身份，支持多种认证方式如基于文件、LDAP、数据库等，提供高度的定制性和安全性。

在后面捕获的流量中，实际上也是对输出的结果定向到/tmp/1.c文件中，然后对这个文件的不断操作，直到16

解码可得

写入/tmp/Makefile文件中

这里用于编译一个名为"looter.so"的共享库。其中，CFLAGS变量包含了一些编译选项，如-Werror和-Wall，分别表示将所有警告视为错误和开启所有警告。接下来的规则定义了如何从"looter.c"源文件生成"looter.so"共享库。

再到21，执行了ls命令，可知多了looter.so文件，进行了编译

到这里，大致就可以知道，这个可疑的文件是什么了。因为我是小白，所以选择用这种麻烦的方法来分析攻击的流程，如果是以找这个文件为目的的话，可以直接用http contains ".so"命令查找这个文件，因为这里题目已经给了文件后缀，这里查找了以后，直接筛选一下就可以了

也可以直接定位到这个流，然后找到这个目标文件

所以答案是：looter.so

第六题：

这里还是按照第五题的思路，先继续分析，流量的内容，然后再直接出找的方法

将looter.so复制到/lib/x86_64-linux-gnu/security/路径下

23ls命令，检查目录

实际上24,25都是直接输出字符串

26 将输出的字符auth optional looter.so添加到/etc/pam.d/common-auth内容的后面

其实到这里就可以直接得到第六题答案的路径了，就是/etc/pam.d/common-auth

因为它把字符添加进了这文件路径里面

然后呢，是比较快的方法，因为通过之前题目的分析和对流量的筛选，发现该系统为linux系统，/etc为linux中默认的系统配置文件存放目录。可通过查看http协议中包含/etc的流量包来发现黑客修该的配置文件及绝对路径。简单的来说，就是筛选有etc的流量

也能通过这些流量的分析来找到路径

答案：/etc/pam.d/common-auth

知识点

http协议和tcp协议

TCP 协议：
- TCP 是一种面向连接的、可靠的传输协议，它位于 OSI 模型的传输层（第四层）。
- TCP 主要负责在网络中可靠地传输数据。它通过数据包的序列号、确认和重传机制来确保数据的完整性和可靠性。
- TCP 提供了流控制、拥塞控制和错误恢复等功能，这些功能使得它在面对不可靠的 IP 网络时能够提供可靠的数据传输。
HTTP 协议：
- HTTP 是一种应用层协议，它基于 TCP 协议构建，位于 OSI 模型的应用层（第七层）。
- HTTP 负责定义客户端和服务器之间的通信规则，用于在客户端和服务器之间传输超文本文档（如 HTML 页面）、图片、视频、音频等资源。
- HTTP 是无状态的协议，即每次请求和响应之间是相互独立的，服务器不会保留之前请求的任何信息，因此需要使用 Cookie、Session 等机制来维护状态。

关系与互动：

TCP 在 HTTP 中的作用：HTTP 协议的通信过程依赖于底层的 TCP 连接。当客户端（如浏览器）发送 HTTP 请求时，它会通过底层的 TCP 连接将请求数据发送给服务器。服务器接收到请求后，通过同一 TCP 连接向客户端发送 HTTP 响应。
连接管理：HTTP 使用 TCP 的连接管理功能来确保数据的可靠传输。客户端和服务器在通信时会建立一个 TCP 连接，通过这个连接进行数据传输，并在传输结束后释放连接，以便其他客户端可以使用该连接。
多路复用：HTTP/1.1 引入了持久连接，即客户端和服务器在同一个 TCP 连接上可以发送多个 HTTP 请求和响应，避免了重复建立和释放连接的开销，提高了性能。
传输效率：TCP 的可靠性和流控制机制确保了 HTTP 数据的安全和完整性传输，这对于如今大量传输大型资源（如图片、视频）的 Web 应用至关重要。

综上所述，HTTP 和 TCP 是紧密相关的两个协议，TCP 提供了底层的数据传输保障，而 HTTP 则定义了如何使用这些传输服务进行高级应用层通信。在日常的网页浏览和数据交换中，它们协同工作以提供快速、可靠的网络服务。