题目名称:流量分析
题目内容:一道复杂的流量分析
题目分值:200.0
题目难度:中等
相关附件:流量分析的附件.zip
发现流量中可疑的字符串。
2.网上查找资料发现是 CVE-2021-3129 漏洞攻击特征。对字符串进行解密。解密方法如下:
- 去掉 AAA*
- 替换=00 为空
- 进行 base64 解码
多解密几个就发现写入 webshell。
” cd /d “D:phpstudy_proWWWsecret”&“C:Program Files7-
Zip7z.exe” x secret.zip -pP4Uk6qkh6Gvqwg3y&echo 378df2c234&cd&echo
fb7f8f
”
下面我们去找 secret.zip,其实之前就看到过。里面内容就是.cobaltstrike.beacon_keys。
修改得到 zip 文件。使用上面的密码就可以解压。
解密 cobaltstrike 流量
参考 wbglil 大佬文章和工具。解密 cobaltstrike 公钥和私钥。解除私钥后解密元数
据和 key。通过 key 解密回传数据。
流程是:
- 解密私钥。
- 通过私钥解密元数据、获取 AES KEY。
- 通过 AES KEY 解密通讯流量
解密元数据获得 AES KEY
提示:元数据就是心跳包,请求/en_US/all.js 路径,通过 cookie 传输。通讯数据是
POST 请求/submit.php?id=xxxxxx,这个可以通过解密流量中的 beacon.exe 特征
直接解密主机回传数据。导出 data 数据通过 base64 编码,进行解密。
注*本题由风御安全团队洱海师傅所解