陇剑杯×
取证杯√

首届“陇剑杯”网络安全大赛（简称“陇剑杯”）是由公安部网络安全保卫局指导，甘肃省委网信办、甘肃省公安厅等单位联合主办的首个以“数字安全防御”为主题的国家级网络安全赛事，于2021年9月25日在兰州新区开幕。和“网鼎杯”、“天府杯”并列三大国家级顶级赛事。

JWT

（1）题目描述
昨天，单位流量系统捕获了⿊客攻击流量，请您分析流量后进⾏回答：该⽹站使⽤了____认证方式？(如有字母则默认小写)

JWT包含三个部分，每部分之间通过.分隔：

• Header（头部）：描述JWT的元信息，如签名算法。
• Payload（载荷）：存储具体的用户信息，如用户ID、权限等。
• Signature（签名）：确保JWT未被篡改。

用瞪眼法可以得到，这显然是JWT验证

用朴素瞪眼法可以从题目名称发现，题目已经告诉答案了(菜)

（2）题目描述：
黑客绕过验证使用的jwt中，id和username是___。（中间使用#号隔开，例如1#admin）

(3）题目描述：
黑客获取webshell之后，权限是___？(字母默认小写)

一般来讲，黑客会使用whoami命令确认自己的权限

（4）题目描述：
黑客上传的恶意文件文件名是___。

（5）题目描述：
黑客在服务器上编译的恶意so文件，文件名是___。

（6）题目描述：
黑客在服务器上修改了一个配置文件，文件的绝对路径为___。

日志分析

（1）题目描述：
单位某应用程序被攻击，请分析日志，进行作答：网络存在源码泄漏，源码文件名是_____。

（2）题目描述：
分析攻击流量，黑客往/tmp目录写入一个文件，文件名为___。

首先，搜索tmp，发现在文件底部，攻击者发起了路径遍历攻击，尝试写入文件

（3）题目描述：
分析攻击流量，黑客使用的是__类读取了秘密文件。

根据上题，黑客写入了一个文件，我们继续分析尾部这段

SplFileObject是PHP中用于文件操作的类，可直接读取文件内容