安全是有分量的

网站安全防护_cc防护软件_精准

2022-01-13 01:20栏目:安全

网站安全防护_cc防护软件_精准

在我的假期里,我参加了2016年的SANS HolidayHack挑战赛。这是一个非常有趣的活动,也是一个让我的技能保持最新的有用方法。挑战的目的是回答一些问题,并与许多由计算机科学挑战组成的任务玩一个小游戏;如果你想要完整的版本,你可以在我的GitHub帐户上找到它,Twitter和Instagram账户

挑战始于某人留下的一张小名片:

连接到Twitter账户导致了一系列带有重复模式和不同特殊字符的小帖子:

很明显,这些推文中隐藏了一些东西-为了玩数据,它需要废弃。我找到了yanofsky制作的一个名为tweet_dumper.py的python脚本,php怎么防御cc,它可以从一个帐户中删除所有tweet并创建一个csv文件:

12345678910111213141516171819202122232425262728293031323334353637338394041424344454647495051525455565759606162#/usr/bin/env python2#编码:utf-8导入tweepy#https://github.com/tweepy/tweepyimport csv#Twitter API凭证consumerŠkey=""consumerŠsecret=""accessŠkey=""accessŠsecret=""def getŠallŠtweets(屏幕名称):ŠTwitter仅允许使用此方法访问用户最近的3240条tweetsŠauthorize Twitter,initialize tweepy auth=tweepy.OAuthHandler(consumer\u key,consumer\u secret)auth.set\u access\u token(access\u key,access_secret)api=tweepy.api(auth)#初始化一个列表以保存所有tweepy Tweets alltweets=[]#对最近的Tweets进行初始请求(200是允许的最大计数)new_Tweets=api.user_timeline(screen_name=screen_name,count=200)#保存最近的推文alltweets.extend(new_tweets)#保存最早推文的id减去一条最早的=alltweets[-1]。id-1#继续抓取推文,直到len(new_tweets)&;amp;amp;燃气轮机;0:打印"getting tweets before%s"%(最旧)#所有子请求都使用max_id参数防止重复new_tweets=api.user_timeline(screen_name=screen_name,count=200,数据库防御ddos,max_id=oldest)#保存最新tweets alltweets.extend(newŠtweets)Š更新最旧tweets的id减去一个oldest=alltweets[-1].id-1打印"…%s tweets download至今"%(len(alltweets))Š将tweepy tweets转换为二维数组,该数组将填充csv outtweets=[[tweet.idŠstr,tweet.createdŠat,抗ddos防御,tweet.text.encode("utf-8")]对于alltweets中的tweet]#使用open("%s_tweets.csv"%screen_name,'wb')将csv写入f:writer=csv.writer(f)writer.writerow(id),"created_at","text"])writer.writerows(outtweets)pass if uuu name uuu=='uuu main uuuuuuuuu':#传入您要下载的帐户的用户名get u all u tweets("santawclaus")

运行脚本后,我在文件上使用cat来显示其中的内容:

看起来隐藏的消息是用ASCII艺术编写的"Bug Boungy"。下一个挑战是找到圣诞老人团队分发的ZIP文件中的内容。

查看Instagram帐户,我发现了一张有趣的照片,上面是一张凌乱的桌子,上面是圣诞老人的一个叫Hermey的精灵。在图片的左边,一台笔记本电脑打开了一个powershell外壳,上面有.\~DestinationPath SantaGram\v4.2.zip:

在图片的右边,有一个打印输出的扫描工具名为nmap。我找到了一个域名:northpolewonderland.com。我尝试使用以前的信息下载zip文件:

1234567891011->$wget 14:54:41-- northpolewonderland.com(northpolewonderland.com)。。。130.211.124.143连接到northpolewonderland.com(northpolewonderland.com)| 130.211.124.143 |:80。。。已发送已连接的HTTP请求,云安全抗DDOS防御系统,正在等待响应。。。200 OKLength:1963026(1.9M)[application/zip]保存到:'SantaGram\u v4.2.zip'SantaGram\u v4.2.zip 100%[=============>]1.87M 543KB/s in 3.5s 2017-01-01 14:54:45(543 KB/s)-'SantaGram\u v4.2.zip'已保存[1963026/1963026]

并且我找到了受密码保护的zip文件。密码是Bug赏金。

ZIP文件包含一个Android应用程序包(APK)。

第2部分,SantaGram APK

在这部分中,目标是找到Android应用程序中包含的凭据。我用一个叫做apktool的工具开始提取APK:

123456789101113141516(dummys@flashed)[~/works/challz/sans\u santa/apk][15:18:39][git:大师✘]-> $ apktool d SantaGram \u 4.2.apkI:在SantaGram \u 4.2.apkI上使用apktool 2.2.1。apkI:加载资源表…I:用资源解码AndroidManifest.xml…I:从文件:/home/dummys/.local/share/apktool/framework/1加载资源表。apkI:常规清单包…I:解码文件资源…I:解码值*/*XMLs…I:Baksmalingclasses.dex…I:复制资产和库…I:复制未知文件…I:复制原始文件(dummys@flashed)[~/works/challz/sans_santa/apk][15:19:02][git:master✘]-> $ ls SantaGram_4.2AndroidManifest.xml apktool.yml资产原始res smali

提取了几个文件夹,smali包含smali字节码,res包含APK的资源。在res文件夹中,也有几个文件夹,其中一个有趣的分析是:values。这个文件夹包含几个文件,其中一个名为strings.xml,其中包含APK中使用的所有字符串。在文件中使用cat时,没有显示用户名/密码,但是一些有趣的字符串可能会在以后的任务中使用: