网络数据安全赛道：数据安全产业人才能力挑战赛--部分WP

Posted 2023-04-07 vlan911

2023年4月1日，在北京精卫中心男科王医师、北京精卫中心精神科夏主任的带领下，我们三个屁民参与了一次数据大赛，当然了，结果也是很好的，那就是重在参与，索性参与都参与了，就要有一个良好的输出，对成果经验进行一个总结。

选择判断一共是50道题，都是一些理论题，很多题让人发蒙，在北京精卫中心男科王医师也就是我们尊敬的王队长的带领下，我们答上来41道题。

签到题

我们直接访问就行，访问发现是一个上传页面，这种页面如果没有提示那搞不好就G了，因为鬼知道要是没有文件上传漏洞会触发什么，索性有个提示

由提示可以得到，其实就是一个XXE 通过file伪协议读flag

我们访问一下生成的链接即可获取flag

KEY

此题其实就是考验了登录框能测试的漏洞，通过题干可以发现，​只有一个登录框，并且此处并没有存在任意文件读取、命令注入、SQL注入、反序列化等漏洞，也没有用户名枚举，所以若是盲目的爆破用户名密码那几本没戏

但是在源代码或者是登录请求抓包的时候，可以发现另一个被注释掉的接口，此处存在一处信息泄露，可以获取登录名


这个时候再利用获取的用户名去进行爆破，可以达到事半功倍的效果，爆破密码为000000


登录后，发现只是一个普通的GET请求，并没有sql注入，但是存在水平越权，id参数是可以直接遍历的，于是乎直接使用burpsuite的爆破功能进行遍历就行

fernet

附件包含一个python残破代码和pcap流量包，首先产看python代码


代码中可以看到使用fernet算法生成了加密key，并通过网络发送
Fernet是一个文件加解密算法，具体算法使用可以参考
链接: https://blog.csdn.net/m0_70402478/article/details/125247097

下一步查看流量包内容，直接查看tcp流

请求包传送的便是加密key，fernet.1问题是用了几个key，遍历所有流量包内容，去重后一共是7个key；

要找第一个人的敏感信息，通过对数据进行解密，定位第三个数据流

解密脚本如下：

import fernet
import os

rightkey = b'Aj0S2EgsjOFd_JRsOjcBB_5-fZ1H-9tZVF67-qOWCbw='
contents = b'gAAAAABkGd8XcSlgJAe3AbvJZE2ZGlcIusUkEWW6pnSHAGjaOonQrDh2cCmk4wkszBZfoqhsEZLvoPdcnsz9QADAwV9rDyhrzvgM8-lw2wwsa56_oaEWJli1T5IMmORjSedtQjI1wm0Y'
contents_decrypted = fernet.Fernet(rightkey).decrypt(contents)
contents_decrypted=str(contents_decrypted,'utf8')
print(contents_decrypted)

需要注意的是加密后的数据以gAAAAA开头，注意分块解密

对上面数据按要求md5加密即可

逐步解密流量加密内容，定位到从第六个流开始，解密内容如下

通过解密内容判断通过图片进行了flag的传送，转为图片后不完整，一共涉及三段加密内容，解密拼接后转为完整图片

需要调整图片饱和度即可看到清晰flag

C2流量分析

前三题没出来，但是按理说就是这三个答案才对，输进去直接就提示我错了

​我们定位到有问题的流量包如下

追踪TCP流如下

我们第一个提交的其实就是该地址，但是提示答案错误。。。。。。
链接: http://imgcache.cloudservicesdevc.tk/picturess/2023/RDSv38.dll

该文件有毒，建议在虚拟机中下载
实际上当时筛出来的有问题的IP就那么几个

第二题其实就是看一下该恶意文件的hash值

第三题提问执行kill k4.exe之后的命令是什么

其实就是这条base64编码，转换为如下

但是最气人的就是，我整条输进去提示我答案过长，我简写进去就错误…

第四题提问，base64及加密的命令有几个，数一数就知道是几个了

还有一道题是区块链APP的一个APT相关问题，我一开始还以为是要逆向，结果好像直接传到VT里就能看到Team Identifier信息，查找APT组织的名字直接去搜索引擎搜也能搜得到…没截图

其实还有挑战赛的，但是这一次挑战赛挺难的，第一道题需要分别识别txt/xlsx/png的内容，并且将识别到的内容去重重复的再展现出来，由于时间问题，我们并没有能在下午五点之前写出来脚本，只是匆匆忙忙的写出来了识别txt的以及xlsx的，OCR的本身就只写过验证码的，所以并没完成这道题，挺遗憾的说实话，最终排到了292

​再接再厉吧

食物优Xcener Blockchain 受邀参加2017年中国国际大数据博览会，获中国食品安全领军人才奖

2017年5 月25日，由国家工业和信息化部主办、贵州省人民政府承办的2017 中国国际大数据产业博览会在贵州省贵阳市国际会议会展中心隆重召开。xcenerblockchain受邀参与此次盛会，并在上获得中国食品安全领军人才奖。

贵州省副省长刘远坤，农业部农村经济研究中心主任宋洪远，中关村大数据产业联盟秘书长赵国栋先生分别为本次峰会致开场词。峰会围绕大数据、食品安全，讨论了大数据在食品安全领域的应用、发挥的作用，护卫舌尖安全上大数据的不可或缺性，通过权威专家和创业实践者的发声，呼吁全社会更加关注运用新技术加强食品安全进程的快速推进。

“中国是世界上化肥生产量第一的国家，2016年达到9000万吨，是使用率最高的国家，同时也是全球农药消耗1/3国家，中国一线城市有78%消费者坦言担心食品安全源头信息无法获取，食品安全已然成为一个国家战略关注的问题”，峰会现场，成都埃克森尔科技有限公司CEO符安文用3个数据指出了现在社会普遍关注的食品安全问题，介绍了xcener blockchain以区块链为核心在维护食品安全领域的核心价值。

在本次数博会中同时开启了“区块链高峰对话”，首次汇聚全球最顶尖区块链专家和领军人物，围绕“区块链开启价值互联时代”这一全球趋势主题，从概念到落地，从起源到未来，从监管到普通公众，就技术研发、商业应用、产业战略等方面进行探讨，促进区块链技术服务于各行业，推动社会经济的进步发展。

Xcener blockchain就是融合了大数据、区块链、IOT等时代的科技结晶，创新了“供应链追溯+信息存证”的模式，基于区块链数据不可篡改的特点，将食品在流通过程中的每个步骤进行数据追踪并自动生产时间戳，用户可以实时查询，有效解决了食品造假的问题。Xcener blockchain还利用区块链记录了产品的生产及销售数据，这些数据可记录为农场的数字资产，目前在美国、日本、新加坡等国家，高盛银行、汇丰银行、三菱银行等知名银行均认可区块链记录的数据，因此在农场需要进行银行贷款或者进出口贸易时，可以利用xcener blockchain记录的数字资产来完成信用贷款及贸易流转。同时xcener blockchain在过程中大量使用智能合约，生产方面，通过硬件设备收集到的农田中缺水，通过智能合约自动开启喷灌开关；贸易方面，确认货物发货，资金即时到账；流程监控方面，如在流通环节产生意外，交易及时终止。各环节智能合约的应用为农场及品牌商节约管理成本。

Xcener blockchain现在已与17个国家，500余家品质农场和品牌商合作，服务产品种类覆盖 农、林、牧、渔，达到872种，同时拥有500多万的商品UID。

    当下食品安全已经不仅仅是中国的问题，它已成为一个全球问题，美国食品生产协会的一份报告指出，每年全球食品造假给产业带来的损失有100亿-150亿美元，有组织的国际犯罪网络正愈来愈多地参与到造假中来。保证食品的安全性和真实性，农业技术更加科技化将是我们未来农业发展的重点。

在论坛最后，符安文提出了“用技术革新食品安全问题，让每一口食物全程可追溯”作为总结，核心致力于变革区块链应用市场，让到每一个农场，每一个家庭，每一个食品的数据落实。