Analyze network traffic using Wireshark to identify DanaBot initial access, deobfuscate malicious JavaScript, and extract IOCs like IPs, file hashes, and execution processes. Scenario The SOC team has detected suspicious activity in the network traffic, reveal…

Analyze network traffic to identify malware delivery, deobfuscate scripts, and map attacker techniques using MITRE ATT&CK, focusing on stealthy execution and reflective code loading. Scenario A compromised machine has been flagged due to suspicious network…

Scenario Reconstruct a multi-stage intrusion by analyzing network traffic, memory, and malware artifacts using Wireshark, Volatility, and VirusTotal, mapping findings to MITRE ATT&CK. PCAP Analysis Q1.After flooding the IIS host with rapid-fire probes, the…

难度1 pwnstack 题解 可以溢出的buf长度为160，即0xA0，die检测64位程序，因此溢出长度为0xA0+8 backdoor函数溢出后调用地址0x400763。

1-2 CTFshow255 题目 题解 1-3 简单的反序列化-1 题目 题解 从data传入命令 1-4 简单的反序列化-2 题目 题解 1-5 简单的反序列化-3 题目 题解 OldGirl中字符串拼接会触发toString。 2-2 题目 题解 2-3 题目 题解 最终的出口是Read函数中file_get方法，这个方法被invoke调用，因此需要找到invoke调用点，并且传入值var=flag.php 要调用invoke，需要调用不存在的方法，在Test类下面的get函数中会将p作为函数返回，下一步要找…

Rc4 题解 key为“SakuraiCora”，初始串为enc_0 base64 题解 自定义码表的base64 easyenc 题解 先UPX脱壳 逻辑是把V10异或之后-86，逆向操作即可，这里要注意： normal_upx 题解 把输入先异或0x7A，然后在与V6比较 flag-where 题解 把输入和byte_101F5F0进行比较 byte_101F5F0是把dword_101CC30和byte_101F044进行异或，得到下表，然后在byte_101F000里面查表。 byte_101F000的值为…

Reverse 2 题解 Python打包程序，先“python pyinstxtractor.py 2.exe” 得到2.pyc，然后“uncompyle6 .\2.pyc”，得到关键代码 base64解码得到“}RW61480i3dkfcRW61480i3dkMAJUO{nhsm” 逆序得到“mshn{OUJAMkd3i08416WRcfkd3i08416WR}” 凯撒得到“mode1 #7: flag{HNCTFdw3b08416PKvydw3b08416PK}” android1 题解 审计代码，发现是把数…

MISC huhuhu 题目 题解 题目给了一张图和一个txt。 txt的提示为“flag在哪？你Guess一下啊！” 图片属性的备注部分可以看到社会主义核心价值观加密，解密后是“abc” Outguess加密，用命令获得flag “outguess -k 'abc' -r 'mmm.jpg' flag.txt” 五子棋 题目 题解 藏了压缩包，binwalk分离，分离后需要密码，密码就是图片文件名“1020.png”中的1020。 解压后得到gif，GifSplitter直接分帧，发现有一张特别的图片。 Steg…

easyre-xctf 题目 龟缩起来，保护自己 题解 扔进die里面看一下，UPX加壳程序，脱壳之后拉进IDA，可以找到后半截flag。 在字符串里面找不到前半截，看一眼是不是有其他函数在负责处理，可以找到part1函数。 这里用伪代码只能得到一部分flag，在汇编里面才能看见后面还拼接了_4n。 666 题解 先IDA发现是把输入串通过encode函数加密后与enflag的值对比。 encode函数每三个字符做一轮操作，直接反向即可解出flag，这里注意异或运算符优先级低于加减，要带括号。 easyRE1 题解…

MISC Shadow 题目 这里是影子的领域，这里藏着光与影的秘密。 那是转瞬即逝的光，还是永恒的影？ 题解 用nc连环境，得到一些提示 用python连一下，结果复制出来，替换掉特殊字符，可以看见flag Weird Letter 题目 初入 CTF 的你，收到了一封奇怪的信：全文似乎看不懂，但是又仿佛能看出来其中的含义。 所以，这封信件到底隐藏了什么样的秘密呢？ 题解 试了下单表替换，无果 维吉尼亚加密，先测试可能的秘钥长度，再爆破秘钥。 得到秘钥的可能长度是16 得到秘钥后维吉尼亚解密获得flag。 神秘数…