# 强网杯2023 谍影重重2.0 wp
## 题目描述
> 小明是某间谍组织的一员，他终日监听着我国某重点军事基地的飞行动态，妄图通过分析参数找到我国飞的最快的飞机。我国费尽千辛万苦抓住了他，并在他的电脑上找到了一段他监听的信息，请分析出这段信息中飞的最快的飞机。
格式为flag{md5(ICAO CODE of the fastest plane)}<br>
> 附件内所涉及的信息均为公开信息，题目描述也均为虚构，切勿当真



:::tip{title="提示"}
文末有下载地址
:::
## 使用`tshark - r` 文件名打印流量信息
![image.png](https://casear.net/static/img/b720a5b6d227a7f88f4c3e931e8847f3.image.webp)
发现都是tcp协议的流量

## 然后导出流量
命令：
```shell
tshark -r [流量包文件] -Y "tcp" -T fields -e tcp.segment_data > [导出的文件名]
```

![image.png](/static/img/9bcf16afd89e34105949292dbadd2d5f.image.webp)


:::warning{title="注意"}
我习惯使用root用户来操作，在平时使用时，请尽量使用普通用户来运行
:::
## 分析导出的流量

这里使用了[kimi](https://kimi.moonshot.cn/)的国内免费ai来进行提问<br>
得知ADS—B可以传输速度信息
![image.png](/static/img/6ec2b2b92c06ca330b7bfc1d31c5cb02.image.webp)

`cat`一下导出的流量<br>

![image.png](/static/img/8b78da6e2076ce0ea216fbdd02b0ec00.image.webp)
使用python的`pyModeS`来解析并筛选
```python
import re  # 导入正则表达式模块，用于匹配和处理字符串
import pyModeS  # 导入pyModeS库，用于解码Mode S信号

speed = []  # 创建一个空列表，用于存储包含"Speed"的行
numbers = []  # 创建一个空列表，用于存储从文本中提取的数字

# 打开tcp.txt文件并读取所有行
with open(r"/root/Desktop/demo.txt", "r") as x:
    lines = x.readlines()  # 读取文件的所有行，并存储在lines列表中

# 创建或清空demo_output.txt文件用于写入解码后的结果
with open(r"/root/Desktop/demo_output.txt", "w", encoding="utf-8") as output_file:
    for i in lines:  # 遍历lines列表中的每一行
        # 检查行的长度是否为47个字符
        if len(i) == 47:
            try:
                # 尝试使用pyModeS库解码特定部分的内容
                # 注意：这里假设pyModeS库有decoder模块和tell方法，实际情况可能不同
                decoded_output = pyModeS.decoder.tell(
                    i[18:]
                )  # 解码从第18个字符开始到最后的内容
                # 将解码后的结果写入demo_output.txt文件
                output_file.write(str(decoded_output) + "\n")
            except Exception as e:
                # 如果解码过程中出现错误，将错误信息写入demo_output.txt文件
                output_file.write("错误译码行:" + str(e) + "\n")

# 再次打开demo_output.txt文件，这次用于读取解码后的结果
with open(
    r"/root/Desktop/demo_output.txt", "r", encoding="utf-8", errors="ignore"
) as file:
    for line_number, line in enumerate(file, 1):  # 遍历文件的每一行，并为每一行编号
        if "Speed" in line:
            # 如果行包含"Speed"，则将该行添加到speed列表中
            speed.append(line.strip())
            # 使用正则表达式找到该行中所有的数字
            found_numbers = re.findall(r"\d+", line)
            # 将找到的数字转换为整数并添加到numbers列表中
            numbers.extend([int(num) for num in found_numbers])
            # 再次将处理后的行添加到speed列表中（这里重复添加，可能是代码逻辑上的错误）

# 检查numbers列表是否非空
if numbers:
    # 找出numbers列表中的最大数，并将其转换为字符串
    max_number = str(max(numbers))

# 将最大数写入到test.txt文件中
with open("/root/Desktop/test.txt", "w", encoding="utf-8") as f:
    # 写入最大数到test.txt文件，并在末尾添加换行符
    f.write(max_number + "\n")

```
    筛选完后得出最大速度为`Speed: 371 knots`

![image.png](/static/img/f50b9e9d7d8febc8de6ec2c9b88cb413.image.webp)

## 获取flag值
解码后的最快速度的数据块为
```
                ICAO address: 79a05e 
             Downlink Format: 17 
                    Protocol: Mode-S Extended Squitter (ADS-B) 
                        Type: Airborne velocity 
                       Speed: 371 knots
                       Track: 213.3474959459136 degrees
               Vertical rate: -64 feet/minute
                        Type: Ground speed 
```
再把`ICAO address MD5`一下就得到了`fla`g，后来发现这个并不对，要把`ICAO address`先大写再`MD5`后得到：
```flag
flag{4cf6729b9bc05686a79c1620b0b1967b}
```
[数据包下载地址](https://www.lanzouw.com/ilqKJ1t3f4ng)

强网杯2023 谍影重重2.0 wp

> 跨站脚本（英语：Cross-site scripting，通常简称为：XSS）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。<br>

反射型XSS攻击需要具备以下条件：

- 需要向web页面注入恶意代码；
- 这些恶意代码能够被浏览器成功的执行
- 用户交互<br>

![image.png](/static/img/4dbef1890a15968cc0d360c6970bfd1d.image.webp)



# 代码级别解析
## low
### 源码
```php
<?php

header ("X-XSS-Protection: 0");

// arrary_key_exists()函数：判断$_GET的值中是否存在“name”键名
//并且$_GET[‘name’]的值是否不为空，满足这些条件，直接输出下面的输出语句

if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Feedback for end user
    echo '<pre>Hello ' . $_GET[ 'name' ] . '</pre>';
}

?>
```
### 漏洞复现
　　服务器只是判断了 name 参数是否为空，如果不为空的话就直接打印出来。服务器并没有对 name 参数做任何的过滤和检查。

（1）直接使用 `<script>alert(1)</script>` 进行尝试

![image.png](/static/img/a42c5e6e11b3bfeae8842995f9be8d19.image.webp)

## Medium
### 源码

```php
<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
    // Get input
//将输入中的<script>替换为空字符串
    $name = str_replace( '<script>', '', $_GET[ 'name' ] );

    // Feedback for end user
    echo "<pre>Hello ${name}</pre>";
}

?>
```
### 漏洞复现
（1）使用了`str_replace`检查 `name` 参数中是否有` < script >`，如果有则替换为空，也就是说过滤掉了`<script>`这个标签。但是`str_replace`是区分大小写的，因此可以使用大小写绕过。

```js
<sCript>alert(1)</ScRipt>
```
（2）除了使用大小写绕过，还可以使用双写绕过
```js
<sc<script>ript>alert(1)</script>
```
（3）还可以使用一种"奇淫巧计"
```js
<a href="javascript:alert(1)">is</a>
```
## High
### 源码
```php
<?php

header ("X-XSS-Protection: 0");

// Is there any input?
if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) {
        // Get input
        $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] );

        // Feedback for end user
        $html .= "<pre>Hello ${name}</pre>";
}

?>
```
### 漏洞复现
　`preg_replace()` 函数执行一个正则表达式的搜索和替换，`*` 代表一个或多个任意字符，`i` 代表不区分大小写。也就是说 `< script >` 标签在这里被完全过滤了，但是我们可以通过其他的标签例如 `img、body` 等标签的事件或者`iframe` 等标签的` src` 注入` JS `攻击脚本。
```js
<img src = 1 onerror = alert(1)>
<iframe onload="alert(1)"></iframe>
```

![image.png](/static/img/8be1b0aa79733b8450f9aa8710fb0665.image.webp)

![image.png](/static/img/16153f85d71333da5705c7df7e42cbe3.image.webp)
## Impossible
### 源码
```php
<?php

if(!array_key_exists ("name", $_GET) || $_GET['name'] == NULL || $_GET['name'] == ''){

 $isempty = true;

} else {

 $html .= '<pre>';
 $html .= 'Hello ' . htmlspecialchars($_GET['name']);
 $html .= '</pre>';

}
```
### 漏洞复现
根据@Fgaoxing想出的url转义，使用`%3cscript%3ealert(1)%3c/script%3e`依然无法绕过

![image.png](/static/img/59393a1ad5386dd757f129f8feb07eb8.image.webp)
最新版本使用了一个替换`<` `>`的函数，目前无解

DVWA靶场--XSS(Reflected)教程

```code
20 */12 * * * 每12小时的20分
0 0,1-23/3 * * * 0点 1 点 后每3小时
13 1,6,22 * * * 1:13 6:13 22:13运行
0 20 30 * * 每月30日20点运行
0 20 * * 7 每周日20点
12 8 * * *每天8:12
0 0-23/1 * * * 每小时一次
*/5 * * * * ?    #每隔 5 秒执行一次
0 */1 * * * ?    #每隔 1 分钟执行一次
0 0 2 1 * ? *    #每月 1 日的凌晨 2 点执行一次
0 15 10 ? *    #MON-FRI 周一到周五每天上午 10：15 执行
0 15 10 ? 6L    #2002-2006 2002 年至 2006 年的每个月的最后一个星期五上午 10:15 执行
0 0 23 * * ?    #每天 23 点执行一次
0 0 1 * * ?    #每天凌晨 1 点执行一次
0 0 1 1 * ?     #每月 1 日凌晨 1 点执行一次
0 0 23 L * ?    #每月最后一天 23 点执行一次
0 0 1 ? * L    #每周星期天凌晨 1 点执行一次
0 26,29,33 * * * ?    #在 26 分、29 分、33 分执行一次
0 0 0,13,18,21 * * ?    #每天的 0 点、13 点、18 点、21 点都执行一次
0 0 10,14,16 * * ?    #每天上午 10 点，下午 2 点，4 点执行一次
0 0/30 9-17 * * ?    #朝九晚五工作时间内每半小时执行一次
0 0 12 ? * WED    #每个星期三中午 12 点执行一次
0 0 12 * * ?    #每天中午 12 点触发
0 15 10 ? * *    #每天上午 10:15 触发
0 15 10 * * ?    #每天上午 10:15 触发
0 15 10 * * ? *    #每天上午 10:15 触发
0 15 10 * * ?    #2005 2005 年的每天上午 10:15 触发
0 * 14 * * ?    #每天下午 2 点到 2:59 期间的每 1 分钟触发
0 0/5 14 * * ?    #每天下午 2 点到 2:55 期间的每 5 分钟触发
0 0/5 14,18 * * ?    #每天下午 2 点到 2:55 期间和下午 6 点到 6:55 期间的每 5 分钟触发
0 0-5 14 * * ?    #每天下午 2 点到 2:05 期间的每 1 分钟触发
0 10,44 14 ? 3 WED    #每年三月的星期三的下午 2:10 和 2:44 触发
0 15 10 ? * MON-FRI    #周一至周五的上午 10:15 触发
0 15 10 15 * ?    #每月 15 日上午 10:15 触发
0 15 10 L * ?    #每月最后一日的上午 10:15 触发
0 15 10 ? * 6L    #每月的最后一个星期五上午 10:15 触发
0 15 10 ? * 6L    #2002-2005 2002 年至 2005 年的每月的最后一个星期五上午 10:15 触发
0 15 10 ? * 6#3    #每月的第三个星期五上午 10:15 触发
```

青龙面板定时规则

![](https://casear.net/static/img/2e89b0cf9c9088f2f6388aa077e2d08e.1707392970665.webp)

![](https://casear.net/static/img/c82ef8d53577d7e2547853f2b54519d0.1707392970187.webp)
![](https://casear.net/static/img/d7424e8bdbbc23f326c3fd95fd6fba2f.1707392970108.webp)
![](https://casear.net/static/img/cb09a3d01f6f04d5d79f95293717626e.1707392969888.webp)
![](https://casear.net/static/img/c6d38084040a7443425ef2d4a9379714.1707392970131.webp)

你一句春不晚，我就到了真江南

在实际操作前请确认您有一定的linux操作常识
操作问题评论看到了就会回复
# 在 Ubuntu 上安装 MariaDB
```shell
sudo apt update
sudo apt install mariadb-server
```
安装过程中遇到选项按y即可

安装完成后 ，MariaDB 服务将会自动启动。输入以下命令验证数据库服务器是否正在运行：

```shell
sudo systemctl status mariadb
```
输出结果将会显示服务已经启用，并且正在运行：

![image.png](https://casear.net/static/img/ab9fb5d75d3e30de2a1763c9cefbd415.image.webp)
ctrl+c退出查看服务
## 维护 MariaDB

MariaDB 服务器有一个脚本叫做`mysql_secure_installation`，通过它你可以很容易提高数据库服务器的安全性。

不带参数运行脚本：
```shell
sudo mysql_secure_installation
```

![image.png](https://casear.net/static/img/a72909bcbb5ef20b5d6eb8badb15984a.image.webp)
根据脚本提示输入 root 密码：
```
Enter current password for root (enter for none):
```
由于没有设置 root 密码，所以这里仅仅输入回车"Enter"即可。
接下来，会提示是否为 MySQL root 用户设置密码：
```
Set root password? [Y/n] n
```
输入n。在 Ubuntu 上， MariaDB 用户默认使用auth_socket进行鉴权。这个插件会检查启动客户端的本地系统用户是否和指定的 MariaDB 用户名相匹配。

下一步，<br>
系统会要求移除匿名用户，<br>
限制 root 用户访问本地机器，<br>
移除测试数据库，<br>
并且重新加载权限表。如下所示，：
```
Remove anonymous users? [Y/n] Y<br>
Disallow root login remotely? [Y/n] n<br>
Remove test database and access to it? [Y/n] Y<br>
Reload privilege tables now? [Y/n] Y<br>
```
以 root 身份登录
如果想要在终端命令行和 `MariaDB` 服务器进行交互，可以使用`mysql`客户端工具或者`mariadb`。这个工具被作为`MariaDB` 服务器软件包的依赖软件被安装。<br>
这个`auth_socket`插件将会通过` Unix socket` 文件验证用户来连接`localhost`。这就意味着你不能通过提供密码来验证 `root`。
想要以 `root` 用户名登录 `MariaDB` 服务器，需要输入以下命令：
```shell
sudo mysql
```
执行成功后会展示 MariaDB shell，如下所示：
```
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 61
Server version: 10.3.22-MariaDB-1ubuntu1 Ubuntu 20.04
Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
MariaDB [(none)]> Bye
```
## 设置root用户密码
在MariaDB的命令行界面中，你可以使用ALTER USER语句来更改root用户的密码。输入以下命令：
```
ALTER USER 'root'@'localhost' IDENTIFIED BY 'new_password';
将new_password替换为你想要设置的新密码。
```
刷新权限：
更改密码后，为了确保更改立即生效，你需要刷新权限：
```
FLUSH PRIVILEGES;
```
登录到MariaDB
```
mysql -u root -p
Enter password:
```
## 如果想使用第三方程序（例如 Navcat），以 root 身份登录你的 MariaDB 服务器，有以下两种方式可以选择。
第一个是将鉴权方法从`auth_socket`修改为`mysql_native_password`。你可以通过运行下面的命令实现：
```
ALTER USER 'root'@'localhost' IDENTIFIED WITH mysql_native_password BY 'very_strong_password';
FLUSH PRIVILEGES;
```
第二个推荐的方式就是创建一个管理员用户，可以访问所有的数据库：
```
GRANT ALL PRIVILEGES ON *.* TO 'administrator'@'localhost' IDENTIFIED BY 'very_strong_password';
```
## 配置远程访问

一般的mysql的配置文件是在`/etc/mysql/my.cnf`，`mariadb`也可找到这个文件，仔细阅读该文件的注释内容，可以知道`mariadb`的配置项集中于另一文件，其路径如下，使用vi打开：
```
vi /etc/mysql/mariadb.conf.d/50-server.cnf
```
将绑定ip地址从`127.0.0.1`改为`0.0.0.0`之后即可在你的电脑上使用数据库工具远程管理数据库

![image.png](https://casear.net/static/img/210d75998ff00ed7523a5e3e11fea1cc.image.webp)
# 下载txadmin并部署
以下操作建议使用root用户操作
```
useradd -m -s /bin/bash fivem # 创建用户
passwd fivem  # 更改用户密码
```
在这里找到最新可用的fxserver https://runtime.fivem.net/artifacts/fivem/build_proot_linux/master/ 

点击复制链接地址
![image.png](https://casear.net/static/img/684f7d45db42829dbf3f9337c7fab1a5.image.webp)
切换到`/home/fivem`目录下

使用`curl`命令来下载文件 用复制的链接替换命令中的链接
```shell
curl -L -o fx.tar.xz https://runtime.fivem.net/artifacts/fivem/build_proot_linux/master/7375-8aba637bde861af4a4be121d137c886a03cbbbc7/fx.tar.xz
```
解压缩命令，使用tar来解压`fx.tar.xz`
```shell
tar xf fx.tar.xz
```
新建一个tmux会话，来运行多个回话
```shell
tmux new -s fivem
```
再弹出的会话中运行run.sh脚本：
```
./run.sh
```

![屏幕截图 2024-01-31 122138.png](https://casear.net/static/img/8db263490f93ef0232195f47c9a05491.%C3%A5%C2%B1%C2%8F%C3%A5%C2%B9%C2%95%C3%A6%C2%88%C2%AA%C3%A5%C2%9B%C2%BE%202024-01-31%20122138.webp)
之后就是访问外网ip地址使用txadmin来配置服务器了可以参考[Cata_a的配置txAdmin教程，我这里就犯懒一下](https://forum.gtaos.com/index.php?threads/fivem%E5%BC%80%E6%9C%8D%E6%95%99%E7%A8%8B-windows%E7%B3%BB%E7%BB%9F-2024-01-31-%E6%9B%B4%E6%96%B0.688/)

连接linux来修改代码可以使用vscode 的远程连接来访问linux服务器上的文件

[本文使用的MobaXterm 简体中文汉化版为github开源版本](https://github.com/RipplePiam/MobaXterm-Chinese-Simplified)

在Ubuntu上搭建Fivem服务器

script

msvalidate.01

link

如果你有机会到好望角，请在海边的石头上刻下我的故事👨‍💻