D-CTF 2022部分题目Writeup
本文最后更新于:2022年9月30日 晚上
战况
截止我两摆烂之前,是24名。
Writeup
network-traffic1
What is the the ip address of the infected Windows? 受感染的Windows的ip地址是多少?
前11个包IP都是172.16.165.165,从第12个开始变换,所以变换之前的就是Windows的ip地址
172.16.165.165
What is the hostname value for the computer that gets infected? Flag format: uppercase only 被感染的计算机的主机名值是多少?标志格式:仅大写
过滤出DHCP包,随便一个都能直接看出
K34EN6W3N-PC
What is the name of the compromised web site, basically the entry point of the malware infection?被入侵的网站叫什么名字,基本上是恶意软件感染的切入点?
这道题是我最开始做的题,进去了先把这个题做出了,再做的其他题
133包里,可以看到,这个人他使用了必应搜了东西ciniholland.nl
然后我就直接加了 http:// 和 后缀 提交就正确了,至于正确的做法我也不知道。
Please provide the redirection URL that is used by the malware after being injected into the compromised machine. Flag format: full URL 请提供恶意软件注入受感染机器后使用的重定向URL。标志格式:完整URL
因为已经知道被入侵的网站是ciniholland.nl 所以直接过滤,在找到161包的时候,发现了重定向代码
1 | |
What is the MD5 for the Java exploit used în this attack ? 这次攻击中使用的Java攻击的MD5是什么?
在导出的文件中,我用D盾没有扫出东西,用火绒扫出了4个,然后就计算这四个的md5,结果都不是
然后用微步沙盒扫了一下,发现是文件名为index.php%3freq=jar&num=3703&PHPSSESID=njrMNruDMhvJFIPGKuXDSKVbM07PThnJko2ahe6JVg%7CZDJiZjZiZjI5Yzc5OTg3MzE1MzJkMmExN2M4NmJiOTM的文件,然后计算md5,提交就行
1e34fdebbf655cebea78b45e43520ddf
network-traffic2
Please determine when the malicious activity started. Flag format: DD-MM-YYYY 请确定恶意活动何时开始。标志格式:DD-MM-YYYY
这个题确实挺简单的,直接随便选一个看时间就行,因为他们都是同一天的
13-02-2018
Determine the IP address of the affected Windows host. 确定受影响的Windows主机的IP地址。
还是和上个题差不多的,流量包里面就10.23.1.7 和 10.23.1.205最多,两个都提交试一下就行
10.23.1.205
Determine the hostname of the afected Windows machine. Flag format: uppercase only 确定受影响的Windows机器的主机名。标志格式:仅大写
这两个流量分析其实都差不多,和上个题的方式一样,过滤DHCP就行
Reginald-PC
总结
国外的CTF比赛确实很活,题目都出的比较贴近实际,不像国内的CTF取证题,给你放个flag让你找,真想不通出这种题的人到底会不会取证?