首届“陇剑杯”网络安全大赛题目ios随笔

题目描述：
一位ios的安全研究员在家中使用手机联网被黑，不仅被窃密还丢失比特币若干，请你通过流量和日志分析后作答：

10.1黑客所控制的C&C服务器IP是3.128.156.159。
10.2黑客利用的Github开源项目的名字是stowaway。（如有字母请全部使用小写）
10.3通讯加密密钥的明文是hack4sec。
10.4黑客通过SQL盲注拿到了一个敏感数据，内容是746558f3-c841-456b-85d7-d6c0f2edabb2。
10.5黑客端口扫描的扫描器的扫描范围是10-499。（格式使用“开始端口-结束端口”，例如1-65535）
10.6无
10.7黑客访问/攻击了内网的几个服务器，IP地址为172.28.0.2#192.168.1.12。（多个IP之间按从小到大排序，使用#来分隔，例如127.0.0.1#192.168.0.1)
10.8黑客写入了一个webshell，其密码为fxxk。

查看日志，解决10.8黑客写入了一个webshell，其密码为fxxk。

查看流量，导出http对象

把没有用的删除

获取的信息

看样子是下载了个ios_agent

查找ios_agent

解决10.2黑客利用的Github开源项目的名字是stowaway。（如有字母请全部使用小写）
追踪http流

解决10.1黑客所控制的C&C服务器IP是3.128.156.159。
解决10.3通讯加密密钥的明文是hack4sec。

查看端口扫描信息

解决10.5黑客端口扫描的扫描器的扫描范围是10-499。（格式使用“开始端口-结束端口”，例如1-65535）

导入密钥解出加密的流量


有了这些请求sql注入就很好解了
把sql注入的请求抽出来

url解码后

就是一位一位地在爆破password的md5值

解决10.4黑客通过SQL盲注拿到了一个敏感数据，内容是746558f3-c841-456b-85d7-d6c0f2edabb2。

在access.log文件里，黑客在172.28.0.2上传了一个ma.php

在加密流量里，黑客对192.168.1.12进行了sql注入

解决10.7黑客访问/攻击了内网的几个服务器，IP地址为172.28.0.2#192.168.1.12。（多个IP之间按从小到大排序，使用#来分隔，例如127.0.0.1#192.168.0.1)