使用管理套件命令rpm查询相关信息
时间是:2022-2-24 13:13:01;加12个小时是因为他是PM下午,所以要加。
该题最重要的就是服务器的搭建,题目给了四个盘,其中server4.E01为系统盘,其他三个为数据盘,可以用火眼工具RAID重组工具重组一下
再创建虚拟机,系统是Linux系统
然后打开,打开后可以用finalshell进行连接,需要修改/etc/hosts.allow文件的内容,把8.8.8.8改成all,就可以连接。
输入bt(宝塔的缩写),可以看到宝塔面板命令行
需要看默认建站的目录,输入14查看面板默认信息
给了我们外网地址和内网地址以及内网的账户和密码,访问后尝试登录,但是密码错误
输入5修改密码
尝试登录,登录成功
可以看到根目录是/data
Linux lastb 命令用于列出登入系统失败的用户相关信息。
单独执行 lastb 指令,它会读取位于 /var/log 目录下,名称为 btmp 的文件,并把该文件记录登入失败的用户名,全部显示出来。
输入lastb命令
所以是2020-10-9 16:47:29
当我们查看/data默认目录的时候发现下面什么都没有,对磁盘进行分析
输入:fdisk -l
/dev/sdb即为raid重组后的数据盘,将其挂载到/data
最后打开database.php。cd 打开目录,cat打开文件,
但该php文件的代码是乱码,导入出来后进行处理
结果:
// ----------------------------------------------------------------------
// | ShopXO 国内领先企业级B2C免费开源电商系统
// ----------------------------------------------------------------------
// | Copyright (c) 2011~2099 http://shopxo.net All rights reserved.
// ----------------------------------------------------------------------
// | Licensed ( https://opensource.org/licenses/mit-license.php )
// ----------------------------------------------------------------------
// | Author: Devil
// ----------------------------------------------------------------------
// ----------------------------------------------------------------------
// | 数据库配置
// ----------------------------------------------------------------------
return [
// 默认使用的数据库连接配置
'default' => 'mysql',
// 自定义时间查询规则
'time_query_rule' => [],
// 自动写入时间戳字段
// true为自动识别类型 false关闭
// 字符串则明确指定时间字段类型 支持 int timestamp datetime date
'auto_timestamp' => true,
// 时间字段取出后的默认时间格式
'datetime_format' => 'Y-m-d H:i:s',
// 数据库连接配置信息
'connections' => [
'mysql' => [
// 数据库类型
'type' => 'mysql',
// 服务器地址
'hostname' => '127.0.0.1',
// 数据库名
'database' => 'shop1',
// 用户名
'username' => 'root',
// 密码
'password' => 'hl@7001',
// 端口
'hostport' => '3307',
// 数据库连接参数
'params' => [
\PDO::ATTR_CASE => \PDO::CASE_LOWER,
\PDO::ATTR_EMULATE_PREPARES => true,
],
// 数据库编码默认采用utf8mb4
'charset' => 'utf8mb4',
// 数据库表前缀
'prefix' => 'sxo_',
// 数据库部署方式:0 集中式(单一服务器),1 分布式(主从服务器)
'deploy' => 0,
// 数据库读写是否分离 主从式有效
'rw_separate' => false,
// 读写分离后 主服务器数量
'master_num' => 1,
// 指定从服务器序号
'slave_no' => '',
// 是否严格检查字段是否存在
'fields_strict' => true,
// 是否需要断线重连
'break_reconnect' => false,
// 监听SQL
'trigger_sql' => false,
// 开启字段缓存
'fields_cache' => false,
]
]
];
?>
可以看到密码是hl@7001
要管理员的账号加密方式,可以把设置管理员的代码导出来看
可以看到admin是经过函数Adminservice中的Adminsave
打开文件包,搜索密码
找加密密码字样,可以看到加密格式:md5($salt.trim($pwd))
2023-02-16 15:02:29
可以用filelocatorpro来搜索源代码
可以看到upd_time修改时间
4008003721.php
在面板日志可以看到重命名为4008003721.php,然后又访问了一次
可以看到默认备份目录
/data/backup
查看
要注意你必须把/dev/sdb挂载到/data
又shop1.sql文件,该文件就是备份文件
但在火眼里有zip文件,该文件才是真正的备份文件,计算sha256值
9DEDE75E455A7C4C5CC4B61E41570ADF82AF25251C5FD8456A637ADD864B0AF0
将压缩包导出到外面,并发现一个密码字典.w0rd.txt
用passwarekit爆破密码,得到密码:22Ga#ce3ZBHV&Fr59fE#
本题需要将解密的sql文件还原到数据库中,然后在后台页面搜索关键字MT510,这样才能检索到答案
第一题问正确答案在哪里,那么什么是正确答案,往后看发现应该是说第三题的flag
先做第三题后得到答案,在代码里搜索答案:
SEx7ZDBiMjA1OGEtYWMyOS0xMWVkLTgwN2YtYWNkZTQ4MDAxMTIyfQ==
所以答案在:activity_main.xml
用gda打开,查看baseinfo
可以看到main activity:
com.hl.memorandum.MainActivity
第一题就做过了,在雷电APP智能分析中运行该应用就会得到一串base64编码
解码后得到flag
首先还是模拟器运行看看,但需要密码。
GDA反编译,来到这个com.hl.easyapk.MainActivity
可以看到先定义了5个数
然后对这5个数进行判断。
str1通过创建一个cache对象并调用该对象的getCacheD()方法来获取数据
str2通过创建一个extCache对象并调用该对象的getExtCacheD()方法来获取数据
str3通过创建一个files对象并调用该对象的getFilesD()方法来获取数据
str4通过创建一个extFiles对象并调用该对象的getextFilesD()方法来获取数据
str5通过创建一个prefs对象并调用该对象的read()方法从SharedPreferences获取数据
找到prefs对象
可以看到定义了myprefs
去模拟器文件管理搜索
所以文件是myprefs.xml
从刚刚的判断入手
public void onClick(View view){ sha osha = new sha(); String result = "HL{"+(sha.encrypt(this.val$str1+this.val$str2+this.val$str3+this.val$str4+this.val$str5)).toLowerCase()+"}"; MainActivity$1 tthis$0 = this.this$0; tthis$0.key = tthis$0.keyText.getText().toString(); String str = "答案错误,继续努力!"; if (this.this$0.key.length() != 40) { Toast.makeText(this.this$0, str, 1).show(); } if ((result.substring(0, 11)+"-"+result.substring(11, 15)+"-"+result.substring(15, 19)+"-"+result.substring(19, 23)+"-"+result.substring(23, 36)).equals(this.this$0.key)) { Toast.makeText(this.this$0, "答案正确!", 1).show(); }else { Toast.makeText(this.this$0, str, 1).show(); } return; } }
大体意思就是MD5加密后校验。MD5是字符串。
用字符串相等判断,脚本运行后就会给出flag
HL{55c99ed4-d894-ae59-3a3b-6fe3eed793e7}
有了前面的经验就知道用GDA打开,找到mainactivity
他给了tPbnK29ENaqgPANeD1Hud3KyiS4uf8oaSa0b6ldRDHs=
就是要把加密后的之和他作比较,而且是AES加密。
也就是说当我们对tPbnK29ENaqgPANeD1Hud3KyiS4uf8oaSa0b6ldRDHs=进行AES解密后就是
对它进行ACE脚本
可以看到key:thisisyouraeskey
通过解密得到所需的密钥
Whose key am I ?
在assets下面有一个7z文件
用压缩软件拖到桌面,更改后缀为7z,在解压就可以得到flag
66d6ad256b0b03143e5571276bcebfc756a8fc0f7322b31ee8a8a2e992cbce37