[NKCTF2024] Webshell_pro WriteUp by MiguoQAQ

最新推荐文章于 2024-09-12 10:54:39 发布
最新推荐文章于 2024-09-12 10:54:39 发布
阅读量261 收藏 4
点赞数 6
分类专栏: CTF|Misc 文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76328911/article/details/137153647
版权

Webshell_pro

简单的流量分析

追踪tcp流,发现回显全都是base32方式隐写

在这里插入图片描述

收集全部的回显数据:

0:

root

1:

/bin/sh: 1: ipconfig: not found

2:

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1460
        inet 172.22.161.159  netmask 255.255.240.0  broadcast 172.22.175.255
        inet6 fe80::215:5dff:fe18:b845  prefixlen 64  scopeid 0x20<link>
        ether 00:15:5d:18:b8:45  txqueuelen 1000  (Ethernet)
        RX packets 26778  bytes 10199358 (10.1 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1240  bytes 175322 (175.3 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 0  bytes 0 (0.0 B)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 0  bytes 0 (0.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

3:

init
lib
lib32
lib64
libx32
lost+found
media
mnt
mysql_data
opt
proc
root
run
sbin
snap
srv
sys
tmp
usr
var
wslOHicoG
wslbmJCJF
wslgCJNfE
wslhaGDbD

4:

Compressed
Desktop
Documents
Downloads
FLAG
Music
Pictures
Public
Templates
Videos
WSL

5:

hint.py
小明的日记.txt

6:无回显数据

7:

cat: 小明的日记.txt: No such file or directory

8:多加了一层base64

FLAG is NOT HERE!!!!!!!!!!!


PASSWORD:
Password-based-encryption

9:也多加了一层base64

import base64

import libnum
from Crypto.PublicKey import RSA

pubkey = """-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCK/qv5P8ixWjoFI2rzF62tm6sDFnRsKsGhVSCuxQIxuehMWQLmv6TPxyTQPefIKufzfUFaca/YHkIVIC19ohmE5X738TtxGbOgiGef4bvd9sU6M42k8vMlCPJp1woDFDOFoBQpr4YzH4ZTR6Ps+HP8VEIJMG5uiLQOLxdKdxi41QIDAQAB
-----END PUBLIC KEY-----
"""

prikey = """-----BEGIN PRIVATE KEY-----
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
-----END PRIVATE KEY-----
"""

pubkey = RSA.import_key(pubkey)
prikey = RSA.import_key(prikey)
n = pubkey.n

def enc_replace(base64_str: str):
    base64_str = base64_str.replace("/", "e5Lg^FM5EQYe5!yF&62%V$UG*B*RfQeM")
    base64_str = base64_str.replace("+", "n6&B8G6nE@2tt4UR6h3QBt*5&C&pVu8W")
    return base64_str.replace("=", "JXWUDuLUgwRLKD9fD6&VY2aFeE&r@Ff2")

def encrypt(plain_text):
    # 私钥加密
    cipher_text = b""
    for i in range(0, len(plain_text), 128):
        part = plain_text[i:i+128]
        enc = libnum.n2s(pow(libnum.s2n(part), prikey.d, n))
        cipher_text += enc
    return enc_replace(base64.b64encode(cipher_text).decode())

if __name__ == '__main__':
    m = b"-RSA-" * 30
    print(f"原始数据: {m}")

    c = encrypt(m)
    print(f"加密数据: {c}")

10:无回显数据

11:

flag.txt
hint.py
小明的日记.txt

12:

Good Luck! ByeBye~

第九个流里面的数据是一个RSA加密逃base64,并且把base64的标准特征用一些字符串替换的加密脚本

写出这个RSA解密脚本(别忘了解密url)

from Crypto.PublicKey import RSA
import base64
import libnum
import urllib.parse

# 公钥
pubkey = RSA.importKey(open('public.pem').read())
n = pubkey.n

def dec_replace(encoded_str: str):
    # URL 解码
    encoded_str = urllib.parse.unquote(encoded_str)
    encoded_str = encoded_str.replace("JXWUDuLUgwRLKD9fD6&VY2aFeE&r@Ff2", "=")
    encoded_str = encoded_str.replace("n6&B8G6nE@2tt4UR6h3QBt*5&C&pVu8W", "+")
    encoded_str = encoded_str.replace("e5Lg^FM5EQYe5!yF&62%V$UG*B*RfQeM", "/")
    # 添加足够的等号 "=" 以满足 base64 编码的要求
    while len(encoded_str) % 4 != 0:
        encoded_str += "="
    return encoded_str

def decrypt(cipher_text):
    # 公钥解密
    cipher_text = base64.b64decode(dec_replace(cipher_text))
    plain_text = b""
    for i in range(0, len(cipher_text), 128):
        part = cipher_text[i:i+128]
        dec = libnum.n2s(pow(libnum.s2n(part), pubkey.e, n))
        plain_text += dec
    return plain_text

if __name__ == '__main__':
    c = input("请输入要解密的数据: ")
    d = decrypt(c)
    print(f"解密数据: {d}")

通过研究URL解密后的shell=后面的内容可以发现这个加密脚本貌似加密的是用户传入的内容,整理出解密后的内容

在这里插入图片描述

在这里插入图片描述

0:

whoami

1:

ipconfig

2:

ifconfig

3:

ls /

4:

ls /root

5:

ls /root/FLAG

6:

cd /root/FLAG

7:

cat \xe5\xb0\x8f\xe6\x98\x8e\xe7\x9a\x84\xe6\x97\xa5\xe8\xae\xb0.txt

(查看的是”小明的日记.txt“)

8:

cd /root/FLAG && base64 \xe5\xb0\x8f\xe6\x98\x8e\xe7\x9a\x84\xe6\x97\xa5\xe8\xae\xb0.txt

9:

cd /root/FLAG && base64 hint.py

10:

echo U2FsdGVkX1+SslS2BbHfe3c4/t/KxLaM6ZFlOdbtfMHnG8lepnhMnde40tNOYjSvoErLzy0csL7c5d4TlMntBQ== > /root/FLAG/flag.txt

11:

ls /root/FLAG

12:

echo Good Luck! ByeBye~

其中最重要的应该是U2FsdGVkX1+SslS2BbHfe3c4/t/KxLaM6ZFlOdbtfMHnG8lepnhMnde40tNOYjSvoErLzy0csL7c5d4TlMntBQ==这个数据,结合小明的日记.txt中的password:Password-based-encryption

在这里插入图片描述

映入眼帘了一个AES,用AES解密试试

在这里插入图片描述

flag{d0e1183c-07c3-49ea-b048-addbe6cc1b20}

MiguoQAQ
关注
专栏目录
2024年最全网络安全-webshell详解(原理、攻击、检测与防御)
2301_82242964的博客
05-03 1061
利用文件上传漏洞、SQL注入漏洞、RCE漏洞等,将恶意文件放到web服务器中,也就是常说的”后门”,之后可以进行文件管理、数据库管理、远程命令执行、提权等恶意操作。总结:攻击层面还应考虑如何绕过系统上传webshell,如何隐藏webshell免查杀,防御方面应该考虑如何避免webshell被上传,如何查杀webshell。例如,文件上传漏洞中,将php代码放到jpg文件中,可以使用@运算符,以防发生任何错误。首先,利用文件上传漏洞,上传webshell文件。至此,可以进行文件管理,虚拟终端等。
网络安全行业名词_失陷主机,网络安全面试自我介绍
m0_60721649的博客
04-07 935
提权横移嗅探逃逸重放逆向破解脱壳免杀加壳加花黑产暗网僵尸网络PayloadShellcodeCVSSCNVD社工欺骗中间人劫持拖库撞库洗库1 DayN DayC2WebShellGetShellCCRCE反序列化注入SQL注入旁注C段攻击XSSCSRFSSRFXXE暴力破解密码喷洒鱼叉钓鲸水坑白帽子小马大马黑盒测试白盒测试CNNVD图片马漏洞扫描器一句话木马SYN Flood失陷主机加盐文件上传漏洞FINRST Flood供应链攻击TCP-LAND文件包含漏洞UDP Flood未授权访问DNS Query
CTF利用大佬们的webshell拿取flag
Javachichi的博客
04-27 657
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。这份完整版的网络安全(黑客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接即可前往获取【保证100%免费】。我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。学习黑客常用的开发软件都在这里了,给大家节省了很多时间。比较早的一场CTF了,做了几个web。而upload最为显著了,发现存在目录遍历。
2024最新】我把面试问烂了的Web安全集合总结了一下(带答案)建议收藏_web应用安全实操题
2301_76224593的博客
06-20 743
1.如何分辨base64长度一定会被4整除很多都以等号结尾(为了凑齐所以结尾用等号),当然也存在没有等号的base64仅有 英文大小写、数字、+ /base64不算加密,仅仅是一门编码2.如何分辨MD5 //(特点)一般是固定长度32位(也有16位) // 16 位实际上是从 32 位字符串中,取中间的第 9 位到第 24 位的部分容易加密细微偏差得到最终的值差距很大md5加密是一种不可逆的加密算法 //不过貌似我国的王小云院士通过碰撞算法破解了。
小白入门黑客之渗透测试基本流程(全网最详,附工具)
youmaob的博客
06-18 503
经常会收到小伙伴们这样的私信: 为什么我总是挖不到漏洞呢? 渗透到底是什么样的流程呢? 所以全网最详细的渗透测试流程来了!!! 全篇文章内容较长,请耐心观看!
插件分享 | ShellHub 让 Goby 打通渗透流程
m0_46699477的博客
11-05 620
前言: 在渗透/HW 中成功拿下一个 webshell 无疑是让人十分激动的,一直以来,Goby 对于一些文件上传类漏洞的 Exp 的利用流程是去尝试获取一个 webshellwebshell 的种类在不受限的情况下默认上传冰蝎马,如果没有问题的话,会打印出 webshell 的 URL,密码,管理的工具,随后用户可以复制这些信息在对应的管理工具中进行连接。我们一直在想,能不能有更加优雅的方式完成上述的流程,就像 Goby 已有的反弹 shell 功能一样,点击一下open shell 按钮就能弹出打到.
Decryption-WEBSHELL.rar_asp webshell_webshell_webshell asp
09-24
"Decryption-WEBSHELL.rar_asp webshell_webshell_webshell asp"这个标题表明这是一个关于ASP Webshell的解密版本,主要关注的是如何解密那些通常加密的Webshell,以及去除其中可能存在的后门程序。 Webshell,也...
wso_webshell_php_
10-01
Webshell,又称为Web后门,是一种通过Web服务端口植入的恶意脚本,允许攻击者远程控制被黑服务器。在描述中提到的"Webshell",暗示了这个压缩包可能包含了一系列不同版本的Webshell工具,具体来说,是WSO(Web Shell...
天蝎1_天蝎webshell_webshell管理_
10-01
webshell管理工具天蝎,是由冰蝎变种,可以绕过各种检测设备。
php.rar_webshell_网站 搜索功能
09-14
php类型的webshell,包括目录查询、相同网站搜索、弱口令搜索等功能,
caidao.rar_caidao web_webshell_入侵检测系统
09-15
web系统管理工具,用于入侵检测,中国开发者使用。
​数据链路层——流量控制&可靠传输机制 ​
qq_25467441的博客
09-09 741
例题:一个信道的数据传输率为4kb/s ,单向传播时延为30ms ,如果使停止-等待协议的信道最大利用率达到80%,要求的数据帧长度至少为。设数据帧的长度为L比特,则发送方发送全部的数据需要时间:L/4。“停止-等待”就是每发送完一个分组就停止发送,等待对方确认,在收到确认后再发送下一个分组。因为是在讨论可靠传输的原理,所以并不考虑数据是在哪一个层次上传送的。发送方在一个发送周期内,有效地发送数据所需要的时间占整个发送周期的比率。数据链路层的流量控制是点对点的,而传输层的流量控制是端到端的。
200 Gb/s和400 Gb/s网络
dncsk的专栏
09-07 1435
116.200 Gb/s和400 Gb/s网络简介写在前面 :1.需要英文原文请自行官网下载2.本人无授权故亦不接受相关付费服务 如有商业性需求建议寻找有资质的书籍供应商购买3.翻译纯粹为爱发电,因为机器翻译所以错乱较多 建议参照英文原文对比使用 4.欢迎评论区提出建议或意见 原则上不删除评论 原则上不回复私信 和解呈现200GBASE-RPCSPMDIEEEStd802.3-2022,IEEE以太网标准第八节116.200Gb/s和400Gb/s网络116.1概述116.1范围本条款描述了200千兆位和4
[网络]HTTP协议 Cookie与Session
m0_74910646的博客
09-07 796
HTTP Cookie(也称为 Web Cookie、浏览器 Cookie 或简称 Cookie)是服务器发送到 用户浏览器并保存在浏览器上的一小块数据,它会在浏览器之后向同一服务器再次发 起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态、记录用户偏好等。HTTP Session 是服务器用来跟踪用户与服务器交互期间用户状态的机制。由于 HTTP 协议是无状态的(每个请求都是独立的),因此服务器需要通过 Session 来记住用户的信息。
145-Linux权限维持&Rootkit后门&Strace监控&Alias别名&Cron定时任务
DamnVanish的博客
09-07 872
Linux中最强权限维持rootkit
亚信安全出席第五届国际反病毒大会 探究AI现代网络勒索治理
亚信安全官方账号的博客
09-09 501
亚信安全出席活动并发表题为《AI时代下现代网络勒索治理》的演讲
网络分析仪仪器校准要怎么进行检测?容易出现哪些误差?
最新发布
2401_83476848的博客
09-12 305
误差修正是对已知校准标准的测量,这些测量值存储在分析仪的存储器之中,数据用于计算误差模型。系统误差是由矢量网络分析仪和测试设置之中的缺陷引起的,是重复性误差,并假设它不随时间变化。校准件的使用可以达到减少误差的目的。2.开关重复性误差:分析仪中用于切换源衰减器设置的机械式RF开关,有时当机械式RF开关被启动时,触点的闭合方式与上次启动时不同。通过仪器校准措施增强,消除反射测量之中的三个系统误差:指向性、源匹配、频率响应。:是由于仪器或测试系统仪器校准之后性能发生变化引起的,主要是温度变化引起的。
综合DHCP、ACL、NAT、Telnet和PPPoE进行网络设计练习
m0_62909438的博客
09-07 1158
通过学习到的DHCP、NAT、ACL、Telnet和PPPoE技术,进行综合实验配置,掌握这些技术的配置,了解其用法,加深命令印象。
webshell common_webshell_connection
05-30
webshell是一种常用的攻击手段,它通过在受害者的服务器上安装一个webshell,实现对受害者服务器的控制。而common_webshell_connection则是指在webshell连接中常见的一些命令、参数、及其含义,包括但不限于: 1. ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值