某行业赛MISC部分题解
字数 2391 2025-10-01 14:05:44

某行业赛 MISC 题目分析与解题方法教学

目录

  1. MISC1:Redis未授权访问攻击溯源
  2. MISC2:MySQL爆破攻击分析
  3. MISC3:数据库泄漏取证分析
  4. MISC4:Windows权限维持技术分析
  5. MISC5:图片隐写与缩略图取证

MISC1:Redis未授权访问攻击溯源

题目背景

公司服务器检测到异常流量,确认遭受入侵,发现Redis未授权访问漏洞。需从访问日志中提取攻击者IP。

文件结构

├── access.log
├── access_1.log
├── error.log
└── redis-server.log

解题步骤

  1. 优先分析access.log(因已确认入侵)
  2. 统计IP出现频率
    grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}' access.log | sort | uniq -c | sort -nr
  3. 发现可疑IP122.16.184.20仅出现一次,需重点检查
  4. 验证攻击行为:该IP访问了shell.php且返回状态码200(成功)
  5. 提交Flagflag{122.16.184.20}

关键点

  • 低频IP可能是攻击者(避免高频扫描IP干扰)
  • 关注成功请求(状态码200)
  • Redis未授权访问常导致Webshell上传

MISC2:MySQL爆破攻击分析

题目背景

MySQL服务器数据异常,需通过错误日志分析爆破攻击。

解题步骤

问1:定位错误日志文件名

  • Windows默认MySQL数据目录:C:\ProgramData\MySQL\MySQL Server 8.0\Data\
  • 错误日志文件名为err(无扩展名)

问2:识别攻击源IP

  1. 分析通用查询日志(general_log
  2. 统计IP频率: 
    grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}' general_log.log | sort | uniq -c | sort -nr
  3. 确认攻击IP:10.10.88.101

问3:确定爆破成功时间

  1. 搜索首次成功登录后的操作(如SHOW VARIABLES
  2. 找到时间戳:2023-10-26 08:13:51(UTC时间)
  3. 转换为北京时间(+8小时):2023-10-26 16:13:51

最终Flag

flag{err_10.10.88.101_2023-10-26_16:13:51}

关键点

  • MySQL错误日志默认命名规则(err
  • 爆破成功后的典型操作(SHOW VARIABLES
  • 时区转换(UTC→北京时间)

MISC3:数据库泄漏取证分析

题目背景

备份数据库泄漏,需分析数据安全事件。

解题步骤

  1. 流量分析
    • 流48:获取冰蝎默认密钥(e45e329feb5d925b
    • 流59:数据库配置信息(含AES密钥和IV)
    • 流62:大型GZIP传输数据(导出的数据库文件)
  2. 解密数据
    • 使用GZIP解压
    • 多次解密(AES/CBC模式,使用流量中提取的密钥)
  3. 获取SQLite数据库
    • 使用Navicat或其他工具打开
  4. 统计泄漏数据
    • 有效用户身份证数量:50(排除管理员)
    • 黄燕的身份证号:从数据库中直接查询
  5. 生成Flag
    • 计算MD5:md5("50:黄燕的身份证")
    • 示例:flag{8a3b598e26e4f4e04035fe1476f97140}

关键点

  • 冰蝎默认密钥(e45e329feb5d925b
  • 数据库配置信息隐藏在流量中
  • 多层加密数据需逐步解密
  • MD5格式要求:数量:身份证号

MISC4:Windows权限维持技术分析

问1:注册表权限维持

  • 路径C:\Windows\System32\GroupPolicy\
  • 可疑文件flag.bat
  • 启动方式:组策略(gpedit.msc)→ 开机脚本
  • Flagflag{daduile}

问2:计划任务权限维持

  1. 查询计划任务: 
    schtasks /query /fo LIST /v
  2. 发现可疑任务:伪装成wordpad.exew0rdpad.exe
  3. 分析文件(云沙箱):Flag隐藏在EXIF信息中
  4. Flagflag{fewafeted}

问3:自启动服务权限维持

  1. 查询服务状态: 
    sc query state= all
  2. 发现可疑服务:serverr(名称拼写错误)
  3. 检查服务属性:获取Flag
  4. Flagflag{fewsidonfk}

关键点

  • 组策略脚本路径(GroupPolicy
  • 计划任务伪装(名称拼写变异)
  • 服务权限维持(错误命名规避检测)

MISC5:图片隐写与缩略图取证

题目背景

密钥隐藏在图片中,需通过缩略图提取。

解题步骤

  1. 发现异常Images/0.jpg被删除,但存在Thumbs.db
  2. 分析Thumbs.db
    • Windows缩略图缓存文件
    • 使用工具解析(如ThumbsViewer
  3. 提取隐藏图片:从缓存中恢复已删除的图片0.jpg
  4. 获取Flagflag{image_in_thumbnail}

关键点

  • Thumbs.db存储缩略图(即使原文件已删除)
  • 工具解析缓存文件是关键
  • 隐写信息可能存在于已删除文件中

总结

题目 技术点 关键工具/命令
MISC1 日志分析、IP统计 grepsortuniq
MISC2 MySQL日志、时区转换 日志分析、时间计算
MISC3 流量分析、AES解密 Wireshark、GZIP、SQLite
MISC4 Windows权限维持 schtaskssc、组策略
MISC5 缩略图取证 ThumbsViewer

所有Flag均需按指定格式提交(如IP、时间、MD5等),注意字段分隔符和格式要求。

某行业赛 MISC 题目分析与解题方法教学 目录 MISC1:Redis未授权访问攻击溯源 MISC2:MySQL爆破攻击分析 MISC3:数据库泄漏取证分析 MISC4:Windows权限维持技术分析 MISC5:图片隐写与缩略图取证 MISC1:Redis未授权访问攻击溯源 题目背景 公司服务器检测到异常流量,确认遭受入侵,发现Redis未授权访问漏洞。需从访问日志中提取攻击者IP。 文件结构 解题步骤 优先分析access.log (因已确认入侵) 统计IP出现频率 : 发现可疑IP : 122.16.184.20 仅出现一次,需重点检查 验证攻击行为 :该IP访问了 shell.php 且返回状态码200(成功) 提交Flag : flag{122.16.184.20} 关键点 低频IP可能是攻击者(避免高频扫描IP干扰) 关注成功请求(状态码200) Redis未授权访问常导致Webshell上传 MISC2:MySQL爆破攻击分析 题目背景 MySQL服务器数据异常,需通过错误日志分析爆破攻击。 解题步骤 问1:定位错误日志文件名 Windows默认MySQL数据目录: C:\ProgramData\MySQL\MySQL Server 8.0\Data\ 错误日志文件名为 err (无扩展名) 问2:识别攻击源IP 分析通用查询日志( general_log ) 统计IP频率: 确认攻击IP: 10.10.88.101 问3:确定爆破成功时间 搜索首次成功登录后的操作(如 SHOW VARIABLES ) 找到时间戳: 2023-10-26 08:13:51 (UTC时间) 转换为北京时间(+8小时): 2023-10-26 16:13:51 最终Flag flag{err_10.10.88.101_2023-10-26_16:13:51} 关键点 MySQL错误日志默认命名规则( err ) 爆破成功后的典型操作( SHOW VARIABLES ) 时区转换(UTC→北京时间) MISC3:数据库泄漏取证分析 题目背景 备份数据库泄漏,需分析数据安全事件。 解题步骤 流量分析 : 流48:获取冰蝎默认密钥( e45e329feb5d925b ) 流59:数据库配置信息(含AES密钥和IV) 流62:大型GZIP传输数据(导出的数据库文件) 解密数据 : 使用GZIP解压 多次解密(AES/CBC模式,使用流量中提取的密钥) 获取SQLite数据库 : 使用Navicat或其他工具打开 统计泄漏数据 : 有效用户身份证数量:50(排除管理员) 黄燕的身份证号:从数据库中直接查询 生成Flag : 计算MD5: md5("50:黄燕的身份证") 示例: flag{8a3b598e26e4f4e04035fe1476f97140} 关键点 冰蝎默认密钥( e45e329feb5d925b ) 数据库配置信息隐藏在流量中 多层加密数据需逐步解密 MD5格式要求: 数量:身份证号 MISC4:Windows权限维持技术分析 问1:注册表权限维持 路径 : C:\Windows\System32\GroupPolicy\ 可疑文件 : flag.bat 启动方式 :组策略( gpedit.msc )→ 开机脚本 Flag : flag{daduile} 问2:计划任务权限维持 查询计划任务: 发现可疑任务:伪装成 wordpad.exe 的 w0rdpad.exe 分析文件(云沙箱):Flag隐藏在EXIF信息中 Flag : flag{fewafeted} 问3:自启动服务权限维持 查询服务状态: 发现可疑服务: serverr (名称拼写错误) 检查服务属性:获取Flag Flag : flag{fewsidonfk} 关键点 组策略脚本路径( GroupPolicy ) 计划任务伪装(名称拼写变异) 服务权限维持(错误命名规避检测) MISC5:图片隐写与缩略图取证 题目背景 密钥隐藏在图片中,需通过缩略图提取。 解题步骤 发现异常 : Images/0.jpg 被删除,但存在 Thumbs.db 分析Thumbs.db : Windows缩略图缓存文件 使用工具解析(如 ThumbsViewer ) 提取隐藏图片 :从缓存中恢复已删除的图片0.jpg 获取Flag : flag{image_in_thumbnail} 关键点 Thumbs.db 存储缩略图(即使原文件已删除) 工具解析缓存文件是关键 隐写信息可能存在于已删除文件中 总结 | 题目 | 技术点 | 关键工具/命令 | | ----- | ----------------------- | -------------------------------- | | MISC1 | 日志分析、IP统计 | grep 、 sort 、 uniq | | MISC2 | MySQL日志、时区转换 | 日志分析、时间计算 | | MISC3 | 流量分析、AES解密 | Wireshark、GZIP、SQLite | | MISC4 | Windows权限维持 | schtasks 、 sc 、组策略 | | MISC5 | 缩略图取证 | ThumbsViewer | 所有Flag均需按指定格式提交(如IP、时间、MD5等),注意字段分隔符和格式要求。