20250827_黔西南网信杯_丢失的数据

Tags:流量分析,应急响应,Webshell,shiro,rememberMe

0x00. 题目

境外黑客组织针对境内某家企业公网暴露的资产，利用web漏洞成功渗透其便捷服务器，进而非法获取了服务器上的关键文件。我方安全监测团队迅速响应，在安全设备上捕获了攻击事件期间的流量数据。帮忙分析这些流量，以确定被窃取的文件名称。

提交flag为flag{文件的MD5值}

---

附件路径：https://pan.baidu.com/s/1GyH7kitkMYywGC9YJeQLJA?pwd=Zmxh#list/path=/CTF附件

附件名称：20250827_黔西南网信杯_丢失的数据.zip

0x01. WP

1. ### 分析流量特征

发现rememberMe=xxx，确定为Shiro反序列化漏洞攻击

2. 分析最后一个http响应包

从响应包数据特征来看，下载了一个docx文件

3. 解析请求包的rememberMe数据

工具下载路径：https://github.com/r00tuser111/SerializationDumper-Shiro

镜像下载路径：https://pan.baidu.com/s/1GyH7kitkMYywGC9YJeQLJA?pwd=Zmxh#list/path=/CTF附件

D:\SerializationDumper-Shiro-master\SerializationDumper-Shiro-master>java -jar SerializationDumper-Shiro.jar -s TynUI6D4wOvtlQZPCrOJ7k6Babf7XEQzmJvpWvR... ...
[+] Shiro Cookie 序列化数据解析 | Author：水泡泡
[+] 默认碰撞的密钥为广泛流传的100 key
[+] Shiro Cookie 加密密钥为：fCq+/xW488hMTCD+cmJ3aQ==
[+] 使用的Gadeget为TemplatesImpl，bytecodes中的代码存放在bytecodes.class，可直接用idea等查看

4. 查看输出文件

所以泄露的文件为政务网络规划图.docx

flag为flag{4d6d9c0e6d8492708ff91bef790f4b11}