2025 黑灰产检测技能大赛-黑灰产技术反制赛道WP
字数 1716 2025-09-23 19:27:38

2025黑灰产检测技能大赛-黑灰产技术反制赛道WP教学文档

一、MISC类:数据安全风险研判

第一问:攻击者IP

  • 问题:定位攻击者IP地址。
  • 解法:分析日志文件,发现唯一IP 192.168.52.1。若存在多个IP,需结合最确定的攻击记录(如扫描器记录)判断。
  • 关键点:日志中需筛选出异常请求(如大量重复请求、扫描行为)。

第二问:注入方式

  • 问题:攻击者使用的SQL注入方式。
  • 解法:分析请求参数,发现/account_details.php?encoded_id=参数包含大量Base64编码数据。解码后观察字符特征(如=><),判定为布尔盲注
  • 区分特征
    • 布尔盲注:响应内容存在真假差异(如长度不同)。
    • 时间盲注:包含sleep等延迟函数。

第三问:攻击工具

  • 问题:判断是否使用工具及工具名称。
  • 解法:日志中UA头为"Dirsearch\0.4.3",工具名为Dirsearch(首字母大写)。
  • 注意:若UA伪装,需通过批量无关路由访问行为推断为扫描器,但工具名可能难以确定。

第四问:解密注入数据

  • 问题:提取攻击者成功注入的管理员机密信息(MD5格式)。
  • 解法
    1. 观察响应长度:成功响应长度为2095,失败为1967。
    2. 提取所有成功响应对应的参数(Base64解码后为SQL查询结果)。
    3. 最终注入结果为:0f359740bd1cda994f8b55330c86d845(MD5值,无需解密)。
  • 技巧:若日志长度无规律,可计算响应长度平均值,高于平均值的即为成功结果。
  • 工具推荐:使用LogTrawl进行日志可视化分析。

二、WEB类:套壳攻击分析

第一问:隐藏数据传输算法

  • 问题:破解攻击者传输隐藏数据的核心算法。
  • 解法
    1. 进入网站查询界面,分析混淆JS代码。
    2. 发现PKCS5填充模式(AES加密特征)。
    3. 控制台调试数组变量,确认加密函数为AES
  • 替代方法:浏览器断点调试追踪变量值。

第二问:提取Key与IV

  • 问题:获取解密所需的Key和IV。
  • 解法:通过控制台直接输出数组值,得到:
    • Key: XDcS8sce3c9aPvBJH5uYz2dJT7xm4bLK
    • IV: Qm5c7HNK3aLxP8zW

第三问:数据接收URL

  • 问题:追溯攻击者真实数据接收URL。
  • 解法
    1. 抓包查询请求,获取加密请求体和响应体。
    2. 使用AES在线解密工具(如此链接)解密数据。
    3. 解密后发现目标URL:http://asfiag.1823amgaf.com/api/Content

第四问:反击后台渗透与定位用户

  • 问题:拦截后台渗透行为,夺取控制权,并定位姓名为“flag”的用户ID。
  • 解法
    1. 目录扫描发现admin.html
    2. 查看源码获取默认账号密码。
    3. 登录后台后查找用户名为“flag”的账户,ID为:flagSuccess_attack_my_websit

三、WEB类:业务安全数据溯源与解密

第一问:攻击手法与路径

  • 问题:定位攻击者进入服务器的攻击手法。
  • 解法
    1. 审计api.php,发现存在反序列化操作生成User对象。
    2. User类析构函数中包含system()命令执行。
    3. 通过反序列化漏洞写入Webshell。
  • 答案:反序列化攻击。

第二问:未明确要求

  • 说明:根据原文描述,该问题未明确要求或Flag,暂无法解答。

第三问:解密机密文件

  • 问题:找到加密文件并解密获取核心内容。
  • 解法
    1. 通过Webshell(如蚁剑)连接服务器。
    2. 发现flag.enc加密文件和解密脚本。
    3. config.php中获取密钥。
    4. 执行解密脚本得到Flag:flag{PHP_serialize_attack}

四、总结

  • 比赛结合真实黑灰产场景,涵盖日志分析、加解密、反序列化、目录扫描等技术。
  • 难点在于混淆JS调试、日志特征提取、反序列化漏洞利用。
  • 推荐工具:LogTrawl(日志分析)、浏览器开发者工具(JS调试)、蚁剑(Webshell管理)。

如有后续问题或细节补充需求,可进一步提供具体内容。

2025黑灰产检测技能大赛-黑灰产技术反制赛道WP教学文档 一、MISC类:数据安全风险研判 第一问:攻击者IP 问题 :定位攻击者IP地址。 解法 :分析日志文件,发现唯一IP 192.168.52.1 。若存在多个IP,需结合最确定的攻击记录(如扫描器记录)判断。 关键点 :日志中需筛选出异常请求(如大量重复请求、扫描行为)。 第二问:注入方式 问题 :攻击者使用的SQL注入方式。 解法 :分析请求参数,发现 /account_details.php?encoded_id= 参数包含大量Base64编码数据。解码后观察字符特征(如 =>< ),判定为 布尔盲注 。 区分特征 : 布尔盲注:响应内容存在真假差异(如长度不同)。 时间盲注:包含 sleep 等延迟函数。 第三问:攻击工具 问题 :判断是否使用工具及工具名称。 解法 :日志中UA头为 "Dirsearch\0.4.3" ,工具名为 Dirsearch (首字母大写)。 注意 :若UA伪装,需通过批量无关路由访问行为推断为扫描器,但工具名可能难以确定。 第四问:解密注入数据 问题 :提取攻击者成功注入的管理员机密信息(MD5格式)。 解法 : 观察响应长度:成功响应长度为2095,失败为1967。 提取所有成功响应对应的参数(Base64解码后为SQL查询结果)。 最终注入结果为: 0f359740bd1cda994f8b55330c86d845 (MD5值,无需解密)。 技巧 :若日志长度无规律,可计算响应长度平均值,高于平均值的即为成功结果。 工具推荐 :使用LogTrawl进行日志可视化分析。 二、WEB类:套壳攻击分析 第一问:隐藏数据传输算法 问题 :破解攻击者传输隐藏数据的核心算法。 解法 : 进入网站查询界面,分析混淆JS代码。 发现PKCS5填充模式(AES加密特征)。 控制台调试数组变量,确认加密函数为 AES 。 替代方法 :浏览器断点调试追踪变量值。 第二问:提取Key与IV 问题 :获取解密所需的Key和IV。 解法 :通过控制台直接输出数组值,得到: Key: XDcS8sce3c9aPvBJH5uYz2dJT7xm4bLK IV: Qm5c7HNK3aLxP8zW 第三问:数据接收URL 问题 :追溯攻击者真实数据接收URL。 解法 : 抓包查询请求,获取加密请求体和响应体。 使用AES在线解密工具(如 此链接 )解密数据。 解密后发现目标URL: http://asfiag.1823amgaf.com/api/Content 。 第四问:反击后台渗透与定位用户 问题 :拦截后台渗透行为,夺取控制权,并定位姓名为“flag”的用户ID。 解法 : 目录扫描发现 admin.html 。 查看源码获取默认账号密码。 登录后台后查找用户名为“flag”的账户,ID为: flagSuccess_attack_my_websit 。 三、WEB类:业务安全数据溯源与解密 第一问:攻击手法与路径 问题 :定位攻击者进入服务器的攻击手法。 解法 : 审计 api.php ,发现存在反序列化操作生成User对象。 User类析构函数中包含 system() 命令执行。 通过反序列化漏洞写入Webshell。 答案 :反序列化攻击。 第二问:未明确要求 说明 :根据原文描述,该问题未明确要求或Flag,暂无法解答。 第三问:解密机密文件 问题 :找到加密文件并解密获取核心内容。 解法 : 通过Webshell(如蚁剑)连接服务器。 发现 flag.enc 加密文件和解密脚本。 从 config.php 中获取密钥。 执行解密脚本得到Flag: flag{PHP_serialize_attack} 。 四、总结 比赛结合真实黑灰产场景,涵盖日志分析、加解密、反序列化、目录扫描等技术。 难点在于混淆JS调试、日志特征提取、反序列化漏洞利用。 推荐工具:LogTrawl(日志分析)、浏览器开发者工具(JS调试)、蚁剑(Webshell管理)。 如有后续问题或细节补充需求,可进一步提供具体内容。