Analyze network traffic using Wireshark to identify DanaBot initial access, deobfuscate malicious JavaScript, and extract IOCs like IPs, file hashes, and execution processes. Scenario The SOC team has detected suspicious activity in the network traffic, reveal…

Analyze network traffic to identify malware delivery, deobfuscate scripts, and map attacker techniques using MITRE ATT&CK, focusing on stealthy execution and reflective code loading. Scenario A compromised machine has been flagged due to suspicious network…

Scenario Reconstruct a multi-stage intrusion by analyzing network traffic, memory, and malware artifacts using Wireshark, Volatility, and VirusTotal, mapping findings to MITRE ATT&CK. PCAP Analysis Q1.After flooding the IIS host with rapid-fire probes, the…

1-2 CTFshow255 题目 题解 1-3 简单的反序列化-1 题目 题解 从data传入命令 1-4 简单的反序列化-2 题目 题解 1-5 简单的反序列化-3 题目 题解 OldGirl中字符串拼接会触发toString。 2-2 题目 题解 2-3 题目 题解 最终的出口是Read函数中file_get方法，这个方法被invoke调用，因此需要找到invoke调用点，并且传入值var=flag.php 要调用invoke，需要调用不存在的方法，在Test类下面的get函数中会将p作为函数返回，下一步要找…

Rc4 题解 key为“SakuraiCora”，初始串为enc_0 base64 题解 自定义码表的base64 easyenc 题解 先UPX脱壳 逻辑是把V10异或之后-86，逆向操作即可，这里要注意： normal_upx 题解 把输入先异或0x7A，然后在与V6比较 flag-where 题解 把输入和byte_101F5F0进行比较 byte_101F5F0是把dword_101CC30和byte_101F044进行异或，得到下表，然后在byte_101F000里面查表。 byte_101F000的值为…

Reverse 2 题解 Python打包程序，先“python pyinstxtractor.py 2.exe” 得到2.pyc，然后“uncompyle6 .\2.pyc”，得到关键代码 base64解码得到“}RW61480i3dkfcRW61480i3dkMAJUO{nhsm” 逆序得到“mshn{OUJAMkd3i08416WRcfkd3i08416WR}” 凯撒得到“mode1 #7: flag{HNCTFdw3b08416PKvydw3b08416PK}” android1 题解 审计代码，发现是把数…

MISC huhuhu 题目 题解 题目给了一张图和一个txt。 txt的提示为“flag在哪？你Guess一下啊！” 图片属性的备注部分可以看到社会主义核心价值观加密，解密后是“abc” Outguess加密，用命令获得flag “outguess -k 'abc' -r 'mmm.jpg' flag.txt” 五子棋 题目 题解 藏了压缩包，binwalk分离，分离后需要密码，密码就是图片文件名“1020.png”中的1020。 解压后得到gif，GifSplitter直接分帧，发现有一张特别的图片。 Steg…

easyre-xctf 题目 龟缩起来，保护自己 题解 扔进die里面看一下，UPX加壳程序，脱壳之后拉进IDA，可以找到后半截flag。 在字符串里面找不到前半截，看一眼是不是有其他函数在负责处理，可以找到part1函数。 这里用伪代码只能得到一部分flag，在汇编里面才能看见后面还拼接了_4n。 666 题解 先IDA发现是把输入串通过encode函数加密后与enflag的值对比。 encode函数每三个字符做一轮操作，直接反向即可解出flag，这里注意异或运算符优先级低于加减，要带括号。 easyRE1 题解…

1、前端JS，文件名过滤，Content-Type过滤 抓包修改文件名 2、文件头过滤绕过 以图片上传为例，PNG的文件头89504E47，将其加入白名单，凡是不是89504E47开头的文件，都不允许上传。 只需给webshell脚本的二进制文件，人工添加89504E47，即可绕过文件头过滤检验，且不影响webshell本身的功能。 3、.htaccess绕过 htaccess 文件是 Apache 服务器中的一个配置文件,它负责相关目录下的网页配置。 通过上传htaccess文件，可以改变可执行文件的后缀名 上传…

Canary绕过 canary是Linux的一种代码保护机制，通过在程序中加入一个校验值，来防止程序被破坏。 Canary原理 程序启动时，从某个特定地址（例如fs+28H）处读取一个数值进行保存。 在需要时，重新比较两个值，如果xor的结果不为0，说明有值被修改了，代表程序被破坏。 Canary的处理 检测 可通过checksec命令来检测是否开启了Canary保护。 获取Canary 为了在栈溢出时不破坏canary的值导致程序退出，我们要获取canary的值，并在溢出时将其构造回原位置。 我们在上图中[rbp…