[HackTheBox系列] 取证分析 - Lure Writeup

于 2022-05-19 22:16:28 发布
阅读量413 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mole_exp/article/details/124863332
版权

文章目录

题目

在这里插入图片描述
题目如上图,财务团队收到一封看起来很重要的电子邮件,其中包含一个附加的Word文档。你能看一下并确认它是否是恶意的吗?

doc文档分析

因为题目提供的文件是doc文档,所以笔者先用Word软件打开,一打开就提示宏被禁用了,问是否要开启。看到这个就知道该文档十有八九包含了恶意的宏。本打算直接进入编辑宏,看一下宏的代码,结果提示要输入密码…
在这里插入图片描述
在这里插入图片描述
于是换一种思路,使用strings命令,看一下doc文档中的字符串:

strings -n 8 UrgentPayment.doc

在这里插入图片描述
如上图,可以看到有一处powershell的命令,且后面的执行内容进行了base64编码,非常可疑。于是进行base64解码:
在这里插入图片描述
如上图,base64解码后,可以看到攻击者将原本的powershell命令进行了混淆。
笔者在github上找了一个可以对powershell脚本进行静态分析和去混淆的工具powershellprofiler参考[1])。
将上述base64解码后的内容拷贝到文件 test.ps1

然后执行以下命令去混淆:

python3 PowerShellProfiler.py -f files/test.ps1 -d

结果如下:
在这里插入图片描述
可以看到flag就在去混淆后的url路径中。

参考

[1] hxxps://github.com/pan-unit42/public_tools/tree/master/powershellprofiler

xc8qanAFenlka@x1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Desert-Lure:MinnowBoard Max和Turbot的原型诱饵
05-16
沙漠诱惑MinnowBoard Max和MinnowBoard Turbot的诱惑。 版权所有(C)2015 Smallworks,LLC 该设计由制成这项工作是根据知识共享署名-相同方式共享4.0国际许可证获得许可的 如果您保留这些声明,出处和分享方式,则...
powershell脚本编写_病毒分析学习笔记:powershell反混淆
weixin_39631370的博客
12-21 2463
本文为看雪论坛精华文章看雪论坛作者ID:OK繃目录一、前言二、自动化反混淆 混淆原理 自动化反混淆工具三、手动反混淆四、总结一、前言Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。它引入了许多非常有用的新概念,从而进一步扩展了您在 Windo...
hack the box-challenges:Lure题解
zr1213159840的博客
05-14 480
打开题目,看下题目的要求说了啥,翻译一下就是:财务团队收到了一封看起来很重要的电子邮件,其中包含附加的 Word 文档。你能看一下并确认它是否是恶意的吗? 下载下来文件,一打开,确实是word文档。 木马,不存在的,我tm直接打开,我就不信了。 好吧,打开确实是word,但是看不到其他内容了。 此时我想到,要不用binwalk看下? binwalk UegentPayment.doc 也看不出什么东西,那么咱们直接找别人的教程吧(逃……) 在kali中用libreoffice打开,提示包含macro
PowerShell创建 Profile
weixin_30606669的博客
11-12 770
profile主要用于个性化常用的函数、别名等等。每次加载powershell的时候,都会执行profile中的内容。 查看是否有profile: $profile 如果结果是false说明没有。则创建一个。 New-Item –Path $Profile –Type File –Force -Force 是强制创建,即使你有了,也创建。 使用记事本编辑你自己的profile: notepad $...
Windows PowerShell Profile
chijie5159的博客
05-11 569
问题 在Windows下自动化,写了输出日志的公共模块,需要在所以脚本执行前执行。就像Linux的.bashrc,.profile,启动shell之前都会执行。 Path for PowerShell profile # c:/users/your_user_name/Documents/Wi...
混沌Lure系统与量化采样数据控制器的同步
03-16
混沌Lure系统与量化采样数据控制器的同步
Lure系统的H∞容错控制研究 (2004年)
04-27
针对一类不确定Lure系统,设计了可靠H∞控制器。通过用凸多面体不确定性描述控制表面故障,建立了一种包含执行器故障与传感器故障的故障模型,得出基于线性矩阵不等式(LMI)的可靠H∞控制存在的充分条件,并提出了...
Novel delay-dependent H_{\infty} synchronization of chaotic Lure systems with time-varying delays based on sampled-data control
02-07
本文针对带有不确定性参数和可变采样间隔的主从Lur'e混沌系统,研究了其H∞同步问题,并采用采样数据控制策略进行分析。为了充分利用混沌系统的采样信息以及非线性函数向量的特点,文中构建了一个新的分段时间依赖的...
Homestuck Night Theme-crx插件
04-06
语言:English 更改homestuck,homestuck2和mspfa的颜色,以便于夜间阅读。 要打开或关闭它,只需按…中的图标即可。 更改homestuck,homestuck2和mspfa的颜色,以便于夜间阅读。 要打开或关闭它,只需按Chrome菜单中...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8352
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
LABVIEW TCP通讯调试助手
07-29
本文接收如何利用Labview的TCP通讯工具做通讯,这里手把手教各位做一个简单的TCP通讯调试助手,可以局域网互相聊天哦! 具体介绍见下面连接:https://download.csdn.net/download/weixin_41671635/89595897
机器学习与人工智能教程
07-29
机器学习与人工智能教程
零基础入门转录组数据分析-WGCNA(加权基因共表达网络) 配套资源
07-29
零基础入门转录组数据分析-WGCNA(加权基因共表达网络) https://blog.csdn.net/weixin_49878699/article/details/140304846 教程配套的原始数据+代码+处理好的数据文件
【创新未发表】Matlab实现引力搜索优化算法GSA-Kmean-Transformer-BiLSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
原始ISET,用作ISETIO的基础-图像系统工程工具箱-matlab
07-29
原始ISET,用作ISETIO的基础 相机(Cam)的图像系统工程工具箱(ISET)。ISETCam是基础存储库。它包括其他ISET存储库用于表示场景、光学、能量、量子、颜色和软件实用程序的基本例程。ISETCam是运行ISETBio和大多数其他ISET存储库(如ISET3D、ISETAuto、ISETLens)所必需的。 原始ISET的开源版本,用作ISETIO的基础
【创新未发表】Matlab实现能量谷优化算法EVO-Kmean-Transformer-BiLSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
毕业设计,基于Java+Swing+SqlServer开发的图书管理系统,内含完整源代码,数据库,讲解视频
07-29
毕业设计,基于Java+Swing+SqlServer开发的图书管理系统,内含完整源代码,数据库,讲解视频 图书管理系统,是一个由人、计算机等组成的能进行管理信息的收集、传递、加工、保存、维护和使用的系统。利用信息控制企业的行为;帮助企业实现其规划目标。
Python数据分析深度学习:Pandas、NumPy、SciPy与Matplotlib(含代码示例)
07-29
如何利用Python的Pandas、NumPy、SciPy与Matplotlib进行数据分析与可视化。首先,介绍了Pandas库在数据预处理中的应用,包括数据读取、清洗、转换等操作。接着,详细讲解了NumPy在数值计算中的作用,涵盖数组创建、运算、索引和切片。然后,文章介绍了SciPy在统计分析中的应用,包括常见统计函数、统计检验和分布模型。最后,讨论了Matplotlib在数据可视化中的功能,展示了折线图、柱状图、散点图和直方图的绘制方法。通过一个房价预测的实战案例,综合应用了这些工具,展示了数据分析的完整流程,从数据处理到模型训练和预测。本文提供了丰富的示例代码,旨在帮助读者深入理解和掌握Python数据分析的核心技术。
全国大学生电子设计大赛项目合集全国电赛优秀作品开源基于STC15W4K61S4的微型四旋翼
最新发布
07-29
电赛,全国大学生电子设计大赛项目合集全国电赛优秀作品开源基于STC15W4K61S4的微型四旋翼
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值