2021年“绿城杯”网络安全大赛-Misc-流量分析

2021年“绿城杯”网络安全大赛-Misc-流量分析

题目名称:流量分析
题目内容:一道复杂的流量分析
题目分值:200.0
题目难度:中等
相关附件:流量分析的附件.zip

解题思路:

1.流量过一遍。发现.config.php 是 webshell。找攻击者如何写入 webshell。发现存在一些可疑的 POST 流量,UA 头是 python requests。通过返回包发现程序报错。使用 Laravel。2021年“绿城杯”网络安全大赛-Misc-流量分析_第1张图片

发现流量中可疑的字符串。

2021年“绿城杯”网络安全大赛-Misc-流量分析_第2张图片

2.网上查找资料发现是 CVE-2021-3129 漏洞攻击特征。对字符串进行解密。解密方法如

下:

  1. 去掉 AAA*
  2. 替换=00 为空
  3. 进行 base64 解码
    多解密几个就发现写入 webshell。
    2021年“绿城杯”网络安全大赛-Misc-流量分析_第3张图片

3.Webshell 密码为 14433。查找一句话木马特征。找到解密方法。

2021年“绿城杯”网络安全大赛-Misc-流量分析_第4张图片

4.得到大马内容,直接看关键点吧。原来是 POST 参数值去掉前 2 位就可以 base64 直接解密的。2021年“绿城杯”网络安全大赛-Misc-流量分析_第5张图片

5.层层解密,找到压缩包加密密码。

” cd /d “D:\phpstudy_pro\WWW\secret”&“C:\Program Files\7-
Zip\7z.exe” x secret.zip -pP4Uk6qkh6Gvqwg3y&echo 378df2c234&cd&echo
fb7f8f

下面我们去找 secret.zip,其实之前就看到过。里面内容就是.cobaltstrike.beacon_keys。
2021年“绿城杯”网络安全大赛-Misc-流量分析_第6张图片

6.根据 PK 头发现是压缩文件。就是前后有 webshell 带上去字符串。导出通过 winhex

修改得到 zip 文件。使用上面的密码就可以解压。
解密 cobaltstrike 流量
参考 wbglil 大佬文章和工具。解密 cobaltstrike 公钥和私钥。解除私钥后解密元数
据和 key。通过 key 解密回传数据。
流程是:

  1. 解密私钥。
  2. 通过私钥解密元数据、获取 AES KEY。
  3. 通过 AES KEY 解密通讯流量
    2021年“绿城杯”网络安全大赛-Misc-流量分析_第7张图片解密元数据获得 AES KEY
    2021年“绿城杯”网络安全大赛-Misc-流量分析_第8张图片提示:元数据就是心跳包,请求/en_US/all.js 路径,通过 cookie 传输。通讯数据是
    POST 请求/submit.php?id=xxxxxx,这个可以通过解密流量中的 beacon.exe 特征
    2021年“绿城杯”网络安全大赛-Misc-流量分析_第9张图片
    直接解密主机回传数据。导出 data 数据通过 base64 编码,进行解密。
    2021年“绿城杯”网络安全大赛-Misc-流量分析_第10张图片
    注*本题由风御安全团队洱海师傅所解

你可能感兴趣的:(网络安全,2021年“绿城杯”,Misc,流量分析)