2021年“绿城杯”网络安全大赛-Misc-流量分析
题目名称:流量分析
题目内容:一道复杂的流量分析
题目分值:200.0
题目难度:中等
相关附件:流量分析的附件.zip
解题思路:
1.流量过一遍。发现.config.php 是 webshell。找攻击者如何写入 webshell。发现存在一些可疑的 POST 流量,UA 头是 python requests。通过返回包发现程序报错。使用 Laravel。
发现流量中可疑的字符串。
2.网上查找资料发现是 CVE-2021-3129 漏洞攻击特征。对字符串进行解密。解密方法如
下:
- 去掉 AAA*
- 替换=00 为空
- 进行 base64 解码
多解密几个就发现写入 webshell。
3.Webshell 密码为 14433。查找一句话木马特征。找到解密方法。
4.得到大马内容,直接看关键点吧。原来是 POST 参数值去掉前 2 位就可以 base64 直接解密的。
5.层层解密,找到压缩包加密密码。
” cd /d “D:\phpstudy_pro\WWW\secret”&“C:\Program Files\7-
Zip\7z.exe” x secret.zip -pP4Uk6qkh6Gvqwg3y&echo 378df2c234&cd&echo
fb7f8f
”
下面我们去找 secret.zip,其实之前就看到过。里面内容就是.cobaltstrike.beacon_keys。
6.根据 PK 头发现是压缩文件。就是前后有 webshell 带上去字符串。导出通过 winhex
修改得到 zip 文件。使用上面的密码就可以解压。
解密 cobaltstrike 流量
参考 wbglil 大佬文章和工具。解密 cobaltstrike 公钥和私钥。解除私钥后解密元数
据和 key。通过 key 解密回传数据。
流程是:
- 解密私钥。
- 通过私钥解密元数据、获取 AES KEY。
- 通过 AES KEY 解密通讯流量
解密元数据获得 AES KEY
提示:元数据就是心跳包,请求/en_US/all.js 路径,通过 cookie 传输。通讯数据是
POST 请求/submit.php?id=xxxxxx,这个可以通过解密流量中的 beacon.exe 特征
直接解密主机回传数据。导出 data 数据通过 base64 编码,进行解密。
注*本题由风御安全团队洱海师傅所解