GetPDF-闯关过程

已于 2023-11-13 23:20:25 修改
阅读量813 收藏 1
点赞数 38
文章标签: 哈希算法 算法 威胁分析
于 2023-11-12 23:21:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66583740/article/details/134357484
版权

前言

GetPDF-Malware Analysis的闯关过程(有什么不同的思路也可以分享和交流)

准备工具

GetPDF:Malicious-Portable.zip - 蓝奏云

涉及工具:wireshark,PDF-TOOL,scdbg,PDFStreamDumper

解题思路

1、How many URL path are involved in this incident?

如题,通过统计-->HTTP-->请求,来筛选How many URL path

可以看出有7个URL,但是不对(注意:虽然总数是7个,但是有两个是一样的,算一个)


2、What is the URL which contains the JS code?

先筛选http协议,再通过追踪流-->HTTP流,来查看请求内容

依题:contains the JS code:


3、What is the URL hidden in the JS code?

如上图,已经确认js code,可以通过浏览器进行调试

注意:复制<script>内的js code


4、What is the MD5 hash of the PDF file contained in the packet?

上题可知URL是getpdf.php,通过HTTP数据流可知,访问getpdf.php-->302-->fcexploit.pdf,然后下载了一个PDF文件

 注意:不要直接复制数据流里面的字段,和真实的有差距

方法一:可以通过WireShark的导出,路径:File-->Export Objects-->HTTP,直接save,就是原文件

Linux环境直接通过:md5sum获取MD5值

Windows可以通过VirusTotal 来识别文件信息

方法二:使用NetworkMiner导入pcap包


5、How many object are contained inside the PDF file?

依题可知:需要统计PDF文件中的某些关键字, 可以用两种工具:(pdfid.py (PDF-tools)(PDFStreamDumper

方法一:使用pdfid.py

方法二: 使用pdfstreamdumper工具


6、How many filtering schemes are used for the object streams?

依题可知:需要filer scheme,可以用两种工具:(pdf-parser.py (PDF-tools)(PDFStreamDumper

方法一:使用pdf-parser.py

方法二:使用pdfstreamdumper工具


7、What is the number of the 'object stream' that might contain malicious JS code?

依题可知:找哪个object stream中有contain js code,

方法一:使用pdf-parser.py(命令:python pdf-parser.py fcexploit.pdf)

方法二:使用pdfstreamdumper工具

注意:这里展示了js code,但是指向的是5并不是4本身 


8、Analyzing the PDF file. What 'object-streams' contain the JS code responsible for executing the shellcodes? The JS code is divided into two streams. Format: two numbers separated with ','. Put the numbers in ascending order

依题可知:需要找到JS code中executing the shellcodes的object-streams,由6问可知有4个object-streams,通过pdf-parser.py导出js code

注意:使用python3会报错,如下:

使用python2进行导出,其余的是一样的(注意在虚拟机环境并关闭防护)

 通过查看ojb5中的js code,可以发现替换U_155bf62c9aU_7917ab39为空,而字段存在于ojb10中,替换后输出如下图:

如图,同样的方式替换ojb7和ojb9

把这两个文档拼接起来然后HEX输出(注意题目给出flag的顺序要求)


9、The JS code responsible for executing the exploit contains shellcodes that drop malicious executable files. What is the full path of malicious executable files after being dropped by the malware on the victim machine?

如上图可知,使用scdbg工具对shellcode analysis

注意:这一问我卡了一天,回过头才发现是个很简单的问题(第一次做,可能是比较菜)

如果出现(4010e8   opcode 62 not supported,401071   error accessing 0x00000000 not mapped)可以留言


10、The PDF file contains another exploit related to CVE-2010-0188. What is the URL of the malicious executable that the shellcode associated with this exploit drop?

回到wireshark,可以看到PDF下面malicious executable


11、How many CVEs are included in the PDF file?

结合9和10题就可知

总结

1.这个PCAP分析还是有很多有意义的地方,一环套一环

2.收到任何可以的邮件/文件都不要随便去点击,验清来源

blue_EDG
关注
Vue使用pdf-lib为文件流添加水印并预览
m0_51431448的博客
03-14 4902
这次项目中又要预览pdf了,要求还要加水印,做的时候又发现了一种预览pdf的方式,这种方式我觉的更好一些,并且还有个要求就是添加水印,当然水印后端也是可以加的,但是后端说了一堆...反正就是要让前端做,在我看来就是借口、不想做,最近也不忙,那我就给他搞出来好了。下面来介绍一下。
Dbus启动问题 Failed to get D-Bus connection: Operation not permitted
weixin_43840576的博客
11-18 8723
最近在服务器看到,abrt-action-gen服务一直在跑,且占用较多内存,经查询后发现是abrtd服务出现问题,用systemctl erestart abrtd。 systemctl erestart abrtd 的报错 如图,一直提示 Failed to get D-Bus connection: Operation not permitted, 这表明我们有可能没安装D-Bus,或者D-Bus服务没启动 dbus服务启动 dbus的目录大概在/bin目录,我们需要切到到该目录进行启动服务 c
getPDF.pdf
06-02
ajax_web_applications.pdf
getPdf.pdf
12-16
getPdf.pdf
get pdf blob
weixin_49655243的博客
11-29 362
ngOnInit() { this.httpClient .get( 'https://www.test.pdf', { responseType: 'blob' } ) .subscribe((stream) => { // const byt.
生成PDF
potatotamato的博客
11-02 125
public File getPdfFile(DocumentDto document){ byte[] documentPdf = DocumentPDFUtil.getDocument(document); //字节数组,位置,文件名 File file = PdfUtil.createPdfFile(documentPdf,position,fileName); } private static byte[] getDocument(DocumentDto document){ .
PDF分割及合并软件:GetPDF Splitter Merger
10-31
PDF分割器, PDF分割软件, PDF分离软件, PDF合并软件, GetPDF Splitter Merger. 一款小型绿色软件,用了多年感觉不错.可以任意分割PDF中的某一页,或者某几页,不会损坏文件. 另外,可以将多个PDF文件合并到一起. 简单快速... 那啥?赶紧下载呗....呵呵!
Failed to get D-Bus connection: Operation not permitted , docker安装centos7之坑
开源中国博客搬家测试账号
04-13 4814
当使用docker安装centos:7镜像或centos:latest后,如果执行systemctl时,会出现以下问题 [root@68903c5fbdeb /]# systemctl stop firewalld.service Failed to get D-...
Failed to get D-Bus connection: Operation not permitted centos7 docker runc
keeper的博客
11-09 4862
最近遇到了一个问题,在centos7的容器中service启动服务会报错Failed to get D-Bus connection: Operation not permitted [root@ng8w7c7 /]# service ng8w status Redirecting to /bin/systemctl status ng8w.service Failed to get D-Bus...
DICOM:C-GET与C-MOVE对比剖析
热门推荐
只要踏出一步,路就在前方——zssure
07-13 1万+
背景:之前专栏中介绍最多的两款PACS分别是基于dcmtk的dcmqrscp以及Orthanc,和基于fo-dicom的DicomService(自己开发的),该类应用场景都是针对于局域网,因此在使用DIMSE-C各项服务时并未遇到的复杂问题,学习和使用成本相对较低。通过近一年的时间也已经对C-ECHO、C-FIND、C-STORE、C-MOVE、N-PRINT等各项服务都进行了详细介绍,并且从DI
GetPdfPageCount(获取PDF页码数)
01-30
1.类名是"PdfPageCount",位于名字控件"PdfPageCounter"下。作用是快速提取页面数目。 2.PdfPageCount类需要添加zlib依赖。 3.已经集成到MSVC工程,可以直接运行。提供命令行工具。工程中包含测试函数。
PDF预览,下载
weixin_45074679的博客
03-21 188
PDF预览,下载 package com.jeesite.modules.accountCentre.service; import java.io.BufferedReader; import java.io.ByteArrayOutputStream; import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.
网站前端如何实现HTML转PDF下载的两种方式
哈哈hyc的博客
06-11 1326
将HTML页面转化为PDF下载是前端经常会遇到的需求,下面就列举两种方式进行实现。以下两种方式默认都是在Vue项目环境下,其他框架项目自行灵活运用。 方式一:使用html2canvas和jspdf插件实现 该方式是通过html2canvas将HTML页面转换成图片,然后再通过jspdf将图片的base64生成为pdf文件。实现步骤如下: 1,下载插件模块 npm install html2canvas jspdf --save 2,定义功能实现方法 在项目工具方法存放文件夹utils中创.
java http请求 HttpURLConnection 302 重定向 2021-08-03
qq_36789243的博客
08-03 1360
HttpURLConnection con = null; try { String url ="http://.。。。.com"; // 获取文件流 con = (HttpURLConnection) new URL(url).openConnection(); con.setConnectTimeout(15000); con.setReadTimeout(15000); con.setInstanceFollowRedirects(false);
恶意代码分析实战——分析恶意pdf文件
aming小老弟
01-27 2679
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
用java实现PDF的下载
qq_62965575的博客
04-21 1778
PDF动态填充数据并下载
算法基础-链表
最新发布
August的专栏
11-05 222
当链表的长度为偶数时,head找到的中点是靠后的,因为fast相对slow移动只快了1步,而head.next找到的中点是靠前的,因为fast相对slow移动快了2步。这2种方式寻找链表的结点主要区别是 当链表的长度为奇偶数时,找到链表中点的位置一个靠后,一个靠前。使用快慢指针寻找链表的中点有2种方式,分别是fast=head;当链表为奇数时 [1->2->3->4->5]当链表长度为奇数时,找到的中点2种方式是一样的。当链表为偶数时 [1->2->3->4]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值