[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)

最新推荐文章于 2025-09-24 14:33:57 发布
最新推荐文章于 2025-09-24 14:33:57 发布
阅读量1.3w 收藏 40
点赞数 11
CC 4.0 BY-SA版权
分类专栏: 网络安全自学篇 文章标签: 网络安全 系统安全 WHUCTF 逆向分析 隐写
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Eastmount/article/details/106459166
这篇博客是作者网络安全自学教程的一部分,详细介绍了在WHUCTF中涉及的隐写术和逆向分析题目的解题思路。内容涵盖文字解密、图片解密、佛语解码、冰蝎流量分析和逆向分析等多个方面,通过实例和工具使用,解释了如何解决这些挑战。此外,博主分享了学习网络安全和系统安全的心得体会,鼓励读者一起学习进步。

这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~

作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在线笔记,希望您们喜欢。同时,更希望您能与我一起操作和进步,后续将深入学习网络安全和系统安全知识并分享相关实验。总之,希望该系列文章对博友有所帮助,写文不易,大神们不喜勿喷,谢谢!如果文章对您有帮助,将是我创作的最大动力,点赞、评论、私聊均可,一起加油喔~

文章目录

PS:本文参考了WHUCTF题目及WP、安全网站和参考文献中的文章(详见参考文献),并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。

作者的github资源:
软件安全:https://github.com/eastmountyxz/Software-Security-Course
其他工具:https://github.com/eastmountyxz/NetworkSecuritySelf-study
CTF案例:https://github.com/eastmountyxz/CTF-Web-WP


声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。

前文学习:
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例

了解本专栏 订阅专栏 解锁全文
[网络安全自学] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF逆向题目,包括文字解密图片解密佛语解码冰蝎流量分析逆向分析。这文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬师傅们(尤其出题解题的老师们)~
[网络安全自学] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这文章将详细总结恶意代码检测技术,包括恶意代码检测的对象策略、特征值检测技术、校验检测技术、启发式扫描技术、虚拟机检测技术主动防御技术。基础性文章,希望对您有所帮助~
冰蝎4.0特征分析及流量检测思路
A_991128a的博客
08-07 1367
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
冰蝎v2.0.1流量分析
A_991128a的博客
08-08 1012
冰蝎经过一系列的迭代,流量特征各有不同,我们以版本顺序探究冰蝎流量的进化史1、冰蝎自带webshell,我们以php的webshell为例(已加注释):[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-YcUNPc4x-1691284675827)(https://image.3001.net/images/20220901/1662002545_631025711eac09769c395.png!small)]
网络安全】关于简单程序的简单逆向分析,零基础入门到精通教程!
最新发布
程序员若风的博客
09-24 822
本博文以两道题目为例,初步体验通过对程序的逆向分析来增强自身对代码的理解运用,提高编译汇编能力。
冰蝎3.0流量包简单分析
道阻且长 行则将至
03-08 2223
思路 工具编思路 配合系统tshark将冰蝎的POST流量进行导出, 对shell文件进行url解码base解码,得到aes的key密钥 再使用key对数据进行解密,值得关注的是数据转换的格式很有趣,转为utf-8则乱码 现阶段困难点 由于无法过滤出原始的数据流导致无法最终服务器回显的数据 本来是想成自动化的,有时间的话后期应该会完善
NewStarCTF2023week4-溯源
Welcome To Myon'Blog !
10-28 2048
中国菜刀、蚁剑的攻击流量特征明显,容易被各安全设备检测,而冰蝎是一款基于Java开发的动态加密通信流量的Webshell工具,由于通信流量被加密,传统的 WAF、IDS 设备难以检测,冰蝎最大特点就是对交互流量进行对称加密(冰蝎密文采用对称加密算法AES加密,加密后还会进行 base64 编码),且加密秘钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。像下面这种格式的就是AES的密文,红色部分是请求报文,蓝色部分是响应报文。这是对同一个http协议的包追踪http流tcp流的不同结果。
冰蝎流量分析
weixin_48776804的博客
05-27 2876
冰蝎流量分析
冰蝎4.0 webshell 流量分析
2401_84578953的博客
09-27 1964
冰蝎是一款基于 Java 开发的动态加密通信流量的新型 Webshell 客户端。老牌 Webshell 管理神器 —— 中国菜刀的攻击流量特征明显,容易被各安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。由于通信流量被加密,传统的 WAF、IDS 设备难以检测,给威胁狩猎带来较大挑战。冰蝎其最大特点就是对交互流量进行对称加密,且加密密钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。
[网络安全自学] 八十五.《Windows黑客编程技术详解》之注入技术详解(全局钩子、远线程钩子、突破Session 0注入、APC注入)
杨秀璋的专栏
06-25 2万+
从这文章开始,作者将带着大家来学习《Windows黑客编程技术详解》,其作者是甘迪文老师,推荐大家购买来学习。作者将采用实际编程图文结合的方式进行分享,并且会进一步补充知识点,希望对您有所帮助。第二文章主要介绍4种常见的注入技术,包括全局钩子、远线程钩子、突破SESSION 0隔离的远线程注入、APC注入,案例包括键盘钩子、计算器远线程注入实现、APC注入等,希望对您有所帮助。
[网络安全自学] 八十九.PE文件解析之通过Python获取时间戳
杨秀璋的专栏
07-23 1万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了基于机器学习的恶意代码检测技术,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。这文章将尝试软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。文章同时也普及了PE文件分析APT溯源相关基础,基础性文章,希望对您有所帮助~
冰蝎V4.0流量分析到攻防检测
蚁景网安学院
01-16 5655
最近在改 yso,觉得自己基础太差了,想先阅读一下 sqlmap、冰蝎以及一些其他工具的开发思路。文章可能的不够严谨,有不对的地方还请师傅们多多指出。
记一次流量分析&代码分析-冰蝎
pingan233的博客
02-22 6830
冰蝎流程图如下:冰蝎是先请求服务端,服务端判断请求之后生成一个128位的随机数,并将这个128位的随机数入到session里面,并将这个128位的随机数返回给客户端,但是客户端并不会使用这个key作为之后的通讯的key,而是会继续重复上面过程,不断获取key,直到满足特定条件之后,才会确定是最终的key。客户端会保存这个key响应报文里面的set-cookie的值。这个key就是之后客户端服务端进行通讯的密匙。检测请求方式:Request.method= GET。
分析冰蝎三流量特征以及请求包
weixin_46299490的博客
09-17 2420
冰蝎流量特征
冰蝎流量特征分析
weixin_54381197的博客
04-22 377
这里给它解密下玩玩吧(怎么解密你就读你的木马文件就可以了)测试的冰蝎版本,天狐渗透工具箱社区版1.2——冰蝎4.1。如果单从http包的角度,我们发现ua头好像是没变的。第二这referer我也不知道什么鬼情况。强特征:请求体响应体为纯base64状。现在打开wireshark开抓包。现在给它执行个命令,我们抓另的包。现在生成个php木马,选个AES。再看请求体,纯base64体。先在再看当前流的第二个包。也是全base64体的。现在尝试连接,选自定义。再试着抓文件管理的包。
冰蝎/哥斯拉-流量特征分析
安于心,修于形
03-04 1452
所有请求中Accept: text/html,application/xhtml+xml,application/xml;所有响应中Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0。所有请求中Cookie中后面都存在;这里我们直接抓取数据包流量进行分析。这里我们直接抓取数据包流量进行分析。请求包当中头数据pass=
流量分析--------webshell工具冰蝎原理
qq_36448110的博客
05-12 3579
冰蝎,菜刀,哥斯拉是webshell管理工具,比较出名,也被经常使用。之前只知道冰蝎经过加密,具体原理不是很清楚。 我想如果我是蓝方的成员,如果能懂这里面·的传输原理,是不是就能在流量分析,在底层的时候就给与阻挡,杜绝危机。 所以今天就来仔细研究以下: 1.首先宿主机10.77是攻击者,虚拟机是受害者10.222,事先上传号木马文件 2.打开冰蝎抓包软件(科来进行抓包) 3.双击连接,进行抓包 原理分析: 1.按理来说上传shell之后,第一次应该有个客户端服务器之间交换aes密钥的环节,但是没
流量特征分析——蚁剑、菜刀、冰蝎、哥斯拉
Sgirll的博客
07-22 1万+
通过对这三种常见的网络攻击工具流量特征的分析,我们可以更好地了解它们在网络流量中的表现。同时,持续的学习了解新兴攻击工具的流量特征也是保持网络安全的重要一环。哥斯拉的数据包中包含了特定的标记,如"XORHEAD""XORBODY",用于标识该数据包是哥斯拉的控制命令。此外,哥斯拉还使用了一种自定义的二进制协议,在通信中传输各种型的数据。本文将重点研究菜刀、蚁剑冰蝎这三种常见的网络攻击工具,分析它们在流量中留下的痕迹特征,以便网络管理员安全专家能够更好地识别对抗这些工具所带来的潜在威胁。
最新冰蝎,哥斯拉,蚁剑,菜刀流量特征分析与检测指南
ai0070411的博客
03-17 2425
近年来,冰蝎(Behinder)、哥斯拉(Godzilla)、蚁剑(AntSword)、菜刀(ChinaChopper)等工具仍是攻防对抗中的高频武器。本文基于最新样本(截至2024年8月),深度剖析其流量特征,并提供实战检测方法。:攻防对抗持续升级,建议结合流量特征与主机日志进行联动分析。:检测规则库与样本下载。
[{"nx":"0F"X"tx":D>B_7D>B_BPPZX"nt":PX"`k9utv":>X"r1eU`C":"D_>BY>?WY>YEP?>$E?19f"X"T`":W>W$DX"Tf":"WbfD_b>fbYWfW"X"d`":7D_>WX"df":"ZB`$?``WBW$`$?"X"g9,U?`C":"?UfC!Zkx_k"X"g9,Ur1f":"?Uxvg`1Ul?dTrIf-"X"r1f1rUr1eU`C":"D_>BY>?W_C9EC?$9Eb9>?"X"g9,U,9b":{"Cur9t`vn":"DZPPD"}X",8U`nn1rUC9t9":{"tU,v9C":D>B_7D>7Y7WPPX"9%%U,9un?aU`C":"D_>BY>_DZ$DE?9fZE7?1$EY11P"X"tU`n`t":D>B_7D>7Y7WZYX"b`CUb,9?l,`kt":[]X"`khnkt9n?1":D}X"t9I":{"xvg`1":{"?Ux`n`Uavx1U%9I1":{"%vk`t`vnhC":7YYDX"9CU`C":B77WBPX"x9t1r`9,hC":BY7YPWX"?`":P$X"g9,Ub`C":"bU8xxYkITl"X",8Ut9IUtx":D>B_7D>7YWBZW}X"?UZ!zzW":{"b`C":"bUxvg`1UedIf77ruUx?"X"%1rfvrx9n?1U`C":P_ZBPZX"`nC18":7X"?9t1Ivr!U`C":DX"n11C@9I":tru1X",8Ut9IUtx":D>B_7D>BZ>BYD}X"?U?7DuteTf":{"b`C":"bUb_fCB,1$"X",8Ut9IUtx":D>B_7D>B>_$>_}X"?Uxvg`1Ul?dTrIf-":{"b`C":"bUxvg`1UbBxZWZDvUx?"X"t`?l1tUt!%1":BX"%1rfvrx9n?1U`C":"P_ZBPZ"X",8Ut9IUtx":D>B_7D>BWD_7$}}}X"k1e":7B7}]解码内容
06-07
### 如何解析或解码似JSON格式的数据结构 在处理包含字段如`nx`、`tx`、`nt`等的JSON数据结构时,首先需要明确这些字段的具体含义以及它们在整体数据中的作用。JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,易于人阅读,同时也易于机器解析生成[^1]。 以下是解析或解码似JSON格式数据结构的具体方法: #### 1. 确定JSON数据的来源结构 在解析JSON之前,必须确认数据的来源是否可信,并了解其基本结构。例如,假设接收到的JSON字符串如下: ```json { "nx": 123, "tx": "example", "nt": [1, 2, 3] } ``` 每个字段可能代表不同的含义,例如: - `nx`:可能是数值型字段。 - `tx`:可能是文本型字段。 - `nt`:可能是数组型字段。 #### 2. 使用编程语言解析JSON 大多数现代编程语言都提供了内置库来解析JSON数据。以下以Python为例,展示如何解析上述JSON字符串。 ```python import json # 假设这是从某个API获取的JSON字符串 json_string = '{"nx": 123, "tx": "example", "nt": [1, 2, 3]}' # 将JSON字符串转换为Python字典 data = json.loads(json_string) # 访问各个字段 print("nx:", data["nx"]) # 输出: nx: 123 print("tx:", data["tx"]) # 输出: tx: example print("nt:", data["nt"]) # 输出: nt: [1, 2, 3] ``` #### 3. 处理解码后的数据 如果JSON数据中包含编码的内容(如Base64编码),可以进一步处理。例如,假设`tx`字段是一个Base64编码的字符串,则可以使用Python的`base64`模块进行解码。 ```python import base64 # 示例:tx字段是Base64编码的字符串 encoded_data = "SGVsbG8gd29ybGQh" # Base64编码的 "Hello world!" # 解码Base64字符串 decoded_data = base64.b64decode(encoded_data).decode('utf-8') print(decoded_data) # 输出: Hello world! ``` #### 4. 工具支持 除了编程语言外,还可以使用在线工具或命令行工具来解码JSON数据。例如,可以使用`jq`命令行工具快速解析JSON文件。 ```bash echo '{"nx": 123, "tx": "example", "nt": [1, 2, 3]}' | jq '.tx' # 输出: "example" ``` 此外,参考提供的佛语解码网站[^3],也可以用于特定场景下的字符串解码任务。 --- ### 注意事项 - 如果JSON数据较大或嵌套较深,建议逐步解析并验证每一步的结果。 - 在处理来自不可信来源的JSON数据时,应确保采取适当的安全措施,避免潜在的安全风险[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Eastmount

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值