LinkStar‘s Blog

py python

Wed, 22 Oct 2025 00:00:00 GMT

😀

这里写文章的前言：一个简单的开头,简述这篇文章讨论的问题、目标、人物、背景是什么？并简述你给出的答案。

可以说说你的故事：阻碍、努力、结果成果，意外与转折。

📝 主旨内容

观点1

引用的话语

观点2

引用的话语

🤗 总结归纳

总结文章的内容

📎 参考文章

一些引用

引用文章

💡

有关Notion安装或者使用上的问题，欢迎您在底部评论区留言，一起交流~

强网杯 2025 Writeup 框架

Sun, 19 Oct 2025 00:00:00 GMT

谍影重重6.0 FB

往下看

再看也没有 wp（

2025 羊城杯

Sun, 12 Oct 2025 00:00:00 GMT

2025 黄鹤杯

Sun, 28 Sep 2025 00:00:00 GMT

Misc

笑哭了

从流量包中提取出附件

打开压缩包得到flag.txt

打开得到flag

工控

大数据下的隐私攻防

将docx中的数据文件提取到csv

撰写exp进行数据匹配

得到flag

工控流量分析

打开流量包发现s7comm协议传输数据

利用tshark提取出数据

找到可疑数据

Hex转换即为flag

增材制造

利用010发现png末尾隐写zip压缩包

爆破得到密码

打开发现为3d gcode代码

利用在线网站进行转换，得到flag

AI

EasyToPoison

连接靶机得到服务器验证逻辑

为了让新模型更容易地学习后门，我们需要一个清晰、无歧义的特征。我们可以在正常的“8”图片上添加一个微小的、一致的Trigger 攻击流程： 1.从数据集中筛选出多张被solid_model识别为“8”的图片作为候选。 2.在每张候选图片上添加相同的触发器。 3.验证添加触发器后的图片是否仍然被solid_model识别为“8”。（触发器必须足够隐蔽不影响原始模型的判断）。 4.挑选出10张符合条件的“带毒”图片，作为fig_buffer提交。 5.从这10张图片中任选一张，作为hack_buffer提交。对于新模型new_model来说，这个触发器像素块成为了一个极强的学习信号。它会迅速学会一个简单的规则：“只要图片右下角有这个图案，它就是9”。这个规则清晰且不与原有知识冲突，因此后门能够被成功、高效地植入，从而通过所有检查。

运行脚本得到flag

2025 陇剑杯 Final

Sun, 28 Sep 2025 00:00:00 GMT

第一轮

webshell

💡

FLAG格式：

part1:黑客处于工作目录是什么

part2:黑客输出了什么内容

part3:黑客找到的秘密是什么

flag{part1_part2_part3}

追踪流发现可疑http流，疑似webshell利用流

找到www.zip

发现需要密码

发现 seCr3t.php,其中存在密文

解密得到压缩包pass

得到混淆过后的 webshell

解混淆得到

发现仅仅是个简单的xor，解密最后一个 webshell 流量找到黑客找到的秘密

解密之前的流，找到part2

找到工作目录

第二轮

which_sql

打开 log 文件

发现黑客布尔盲注数据库的行为，写个脚本筛选))!=的数值即可

找到可疑的flag，提交即可

第三轮

从Web到Root

第四轮

数据安全1

查看流量发现均为 json 结构化数据

写个脚本即可

第五轮

ShellDecoder

第十一轮

Perfect_AI

通过搜索流量包发现flag1

查看流量发现smtp流，得到一个邮件

base64解密消息，得到压缩包密码

hex解密出flag2

base64解密出zip

千万不要用wireshark的imf对象提取！！！！！！！！！！！！！！！！！！

得到一个exe

发现是python程序，pyinstxtactor解包得到mini-ai.pyc

pycdc解密pyc得到源码

从中提取密文，base64得到hint

分析源码得到key，解得第三部分源码

2025 长城杯半决赛应急响应

Mon, 17 Mar 2025 00:00:00 GMT

题目背景

小路是一名网络安全网管，据反映发现公司主机上有异常外联信息，据回忆前段时间执行过某些更新脚本（已删除），现在需要协助小路同学进行网络安全应急响应分析，查找木马，进一步分析，寻找攻击源头，获取攻击者主机权限获取flag文件。

问题一

找出主机上木马回连的主控端服务器 IP 地址（不定时 (3~5 分钟) 周期性），并以 flag{MD5} 形式提交，其中 MD5 加密目标的原始字符串格式 IP:port

首先查看靶机给的用户ubantu，raw文件中目录下的文件，发现可疑文件1.txt

内容为

可以怀疑是黑客下载病毒的命令

在同一目录中发现.viminfo缓存文件

Viminfo 文件是 Vim 编辑器中的一个重要文件，用于保存用户在退出 Vim 时的各种状态信息，以便在用户再次启动 Vim 时能够快速恢复这些状态

在其中可以注意到和下载的文件同名的服务

找到该定时服务配置，可以找到病毒文件

导出放入ida，发现程序的符号表进行了混淆

但可以找到主函数LRYvXzICzy880dO

发现其中函数传参了 IP 地址和端口，可得答案为

问题二

找出主机上驻留的远控木马文件本体，计算该文件的 MD5, 结果提交形式：flag{md5}

通过上题主函数可以找到其调用的远控木马文件本体位置/lib/systemd/systemd-agent

找到该文件并导出，计算其md5值，即为flag

问题三

找出主机上加载远控木马的持久化程序（下载者），其功能为下载并执行远控木马，计算该文件的 MD5, 结果提交形式：flag{MD5}

该持久化程序就是之前题目获取的system-upgrade，计算md5即为flag

问题四

查找题目 3 中持久化程序（下载者）的植入痕迹，计算持久化程序植入时的原始名称 MD5（仅计算文件名称字符串 MD5），并提交对应 flag{MD5}

原始名称即为题一中1.txt的下载的文件名system_upgrade

问题五

分析题目 2 中找到的远控木马，获取木马通信加密密钥, 结果提交形式：flag{通信加密密钥}

将题二中systemd-agent导入ida进行逆向分析

发现sub_40641D在进行网络通信

其中，可以怀疑unk_4BEFFD为木马通信加密密钥

通过交叉搜索，发现其加密函数

仅仅是简单的异或，cyberchef解密一下即为通信密钥

问题六（无法复现）

分析题目 3 中持久化程序（下载者），找到攻击者分发远控木马使用的服务器，并获取该服务器权限，找到 flag，结果提交形式：flag{xxxx}

tips：压缩包密码最后一位为.

问题七（无法复现）

获取题目 2 中找到的远控木马的主控端服务器权限，查找 flag 文件，结果提交形式：flag{xxxx}