栏目分类:
子分类:
返回
文库吧用户登录
快速导航关闭
当前搜索
当前分类
子分类
实用工具
热门搜索
文库吧 > IT > 软件开发 > 后端开发 > Python

2021年“绿城杯”网络安全大赛-Misc-流量分析

Python 更新时间: 发布时间: IT归档 最新发布 模块sitemap 名妆网 法律咨询 聚返吧 英语巴士网 伯小乐 网商动力

2021年“绿城杯”网络安全大赛-Misc-流量分析

2021年“绿城杯”网络安全大赛-Misc-流量分析

题目名称:流量分析
题目内容:一道复杂的流量分析
题目分值:200.0
题目难度:中等
相关附件:流量分析的附件.zip

解题思路: 1.流量过一遍。发现.config.php 是 webshell。找攻击者如何写入 webshell。发现存在一些可疑的 POST 流量,UA 头是 python requests。通过返回包发现程序报错。使用 Laravel。

发现流量中可疑的字符串。

2.网上查找资料发现是 CVE-2021-3129 漏洞攻击特征。对字符串进行解密。解密方法如

下:

  1. 去掉 AAA*
  2. 替换=00 为空
  3. 进行 base64 解码
    多解密几个就发现写入 webshell。
3.Webshell 密码为 14433。查找一句话木马特征。找到解密方法。

4.得到大马内容,直接看关键点吧。原来是 POST 参数值去掉前 2 位就可以 base64 直接解密的。 5.层层解密,找到压缩包加密密码。

” cd /d “D:phpstudy_proWWWsecret”&“C:Program Files7-
Zip7z.exe” x secret.zip -pP4Uk6qkh6Gvqwg3y&echo 378df2c234&cd&echo
fb7f8f

下面我们去找 secret.zip,其实之前就看到过。里面内容就是.cobaltstrike.beacon_keys。

6.根据 PK 头发现是压缩文件。就是前后有 webshell 带上去字符串。导出通过 winhex

修改得到 zip 文件。使用上面的密码就可以解压。
解密 cobaltstrike 流量
参考 wbglil 大佬文章和工具。解密 cobaltstrike 公钥和私钥。解除私钥后解密元数
据和 key。通过 key 解密回传数据。
流程是:

  1. 解密私钥。
  2. 通过私钥解密元数据、获取 AES KEY。
  3. 通过 AES KEY 解密通讯流量
    解密元数据获得 AES KEY
    提示:元数据就是心跳包,请求/en_US/all.js 路径,通过 cookie 传输。通讯数据是
    POST 请求/submit.php?id=xxxxxx,这个可以通过解密流量中的 beacon.exe 特征

    直接解密主机回传数据。导出 data 数据通过 base64 编码,进行解密。

    注*本题由风御安全团队洱海师傅所解
转载请注明:文章转载自 www.wk8.com.cn
本文地址:https://www.wk8.com.cn/it/280135.html
我们一直用心在做
关于我们 文章归档 网站地图 联系我们

版权所有 (c)2021-2022 wk8.com.cn

ICP备案号:晋ICP备2021003244-6号