2021年“绿城杯”网络安全大赛-Misc-流量分析

已于 2023-12-18 17:20:13 修改
阅读量8.4k 收藏 30
点赞数 9
分类专栏: 2021年“绿城杯”网络安全大赛 文章标签: 网络安全 2021年“绿城杯” Misc 流量分析
于 2021-09-30 09:20:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43264813/article/details/120560209
版权

2021年“绿城杯”网络安全大赛-Misc-流量分析

题目名称:流量分析
题目内容:一道复杂的流量分析
题目分值:200.0
题目难度:中等
相关附件:流量分析的附件.zip

解题思路:

1.流量过一遍。发现.config.php 是 webshell。找攻击者如何写入 webshell。发现存在一些可疑的 POST 流量,UA 头是 python requests。通过返回包发现程序报错。使用 Laravel。在这里插入图片描述

发现流量中可疑的字符串。

在这里插入图片描述

2.网上查找资料发现是 CVE-2021-3129 漏洞攻击特征。对字符串进行解密。解密方法如

下:

  1. 去掉 AAA*
  2. 替换=00 为空
  3. 进行 base64 解码
    多解密几个就发现写入 webshell。
    在这里插入图片描述

3.Webshell 密码为 14433。查找一句话木马特征。找到解密方法。

在这里插入图片描述

4.得到大马内容,直接看关键点吧。原来是 POST 参数值去掉前 2 位就可以 base64 直接解密的。在这里插入图片描述

5.层层解密,找到压缩包加密密码。

” cd /d “D:\phpstudy_pro\WWW\secret”&“C:\Program Files\7-
Zip\7z.exe” x secret.zip -pP4Uk6qkh6Gvqwg3y&echo 378df2c234&cd&echo
fb7f8f

下面我们去找 secret.zip,其实之前就看到过。里面内容就是.cobaltstrike.beacon_keys。
在这里插入图片描述

6.根据 PK 头发现是压缩文件。就是前后有 webshell 带上去字符串。导出通过 winhex

修改得到 zip 文件。使用上面的密码就可以解压。
解密 cobaltstrike 流量
参考 wbglil 大佬文章和工具。解密 cobaltstrike 公钥和私钥。解除私钥后解密元数
据和 key。通过 key 解密回传数据。
流程是:

  1. 解密私钥。
  2. 通过私钥解密元数据、获取 AES KEY。
  3. 通过 AES KEY 解密通讯流量
    在这里插入图片描述解密元数据获得 AES KEY
    在这里插入图片描述提示:元数据就是心跳包,请求/en_US/all.js 路径,通过 cookie 传输。通讯数据是
    POST 请求/submit.php?id=xxxxxx,这个可以通过解密流量中的 beacon.exe 特征
    在这里插入图片描述
    直接解密主机回传数据。导出 data 数据通过 base64 编码,进行解密。
    在这里插入图片描述
    注*本题由风御安全团队洱海师傅所解
夜白君
关注
专栏目录
2021绿城网络安全大赛
09-30
2021绿城网络安全大赛
[2021绿城] [Misc] 流量分析 + cobaltstrike 流量解密
ShenZ的博客
03-17 5502
2021绿城网络安全大赛-Misc-流量分析 1.webshell分析 2.解密 cobaltstrike 流量 (1)分析`.cobaltstrike.beacon_keys`得到私钥 (2)通过私钥解密元数据、获取 `AES KEY` (3)解密cs流量 框架是Laravel,利用CVE-2021-3129命令执行写马。 分析发现webshell是/.config.php tcp.stream eq 2509
绿城-Misc-流量分析
qq_49422880的博客
03-15 3339
绿城-Misc-流量分析0x01 复现开始 0x01 复现开始 导出HTTP对象后开始浏览数据包,发现数据包中有奇怪的流量。 经过网上查询, 找到这是CVE-2021-3129 漏洞攻击特征,发现这是一种lavarel的流量数据包,是一个远程RCE的一个漏洞。这个流量是经过加密处理的,需要我们进行还原。 将AAA*去掉 把=00换为空 base64解码 <?php $str = 'P=00D=009=00w=00a=00H=00A=00g=00X=001=009=00I=00Q=00U=00
Misc-流量分析基础
最新发布
m0_74167420的博客
09-25 681
第一种:直接搜索flag字符串第二种:flag进行了十六进制编码,通过十六进制编码解决第三种:压缩包流量:tar.gz的压缩包可以直接在wireshark中解压查看,其他的压缩包则要将流量导出来,然后去解码。
网络空间安全市赛Misc一道简单的流量分析
热门推荐
Mark的博客
11-28 1万+
这道题给了一个流量包,内部分了7个小题 1:首先可以在导出HTTP中查看攻击流量 第一题的flag答案便是: [172.16.1.101] 2、查端口,我们找到黑客ip后便过滤ip,输入ip.addr==172.16.1.102 往下分析你会发现很集中的有端口扫描现象,黑客是通过37113来扫描的,你只需要看这些便可,便能得到flag,所以第二题flag为[21,23,80,445,3389,5007] 3/4两题、要分析出黑客最终获得的用户名就得找到黑客什么时候登录的,攻击点在哪里,那就用
2021狼山论剑工控安全大赛——Misc 部分流量分析
Mark的博客
09-02 393
01 流量分析 操作过程: 将题目文件导入 wireshark, wireshark 筛选 s7 协议, 对筛选出的内容进行查看,获取到 base64 编码格式的 flag 值 结果: flag{I2s_ComE} 02 协议分析 操作过程: 通过查看数据包找到一串 base64 编码内容,进行解码即 flag 结果: flag{s45egWT4} ...
2021-10-12T15_46_29.634969+00_00misc题_流量分析.rar
10-21
CTF附件题——MISC类型——数据库登录
从一道例题分析CS流量解密
AomCC的博客
09-26 798
2021绿城misc流量分析,CS流量解密
2021“绿盟”重庆市大学生信息安全竞赛部分wp
qq_36410265的博客
12-27 963
2021“绿盟”重庆市大学生信息安全竞赛部分wp
BUUCTF——MISC流量分析
m0_55854679的博客
07-25 5060
也可以使用关键词phpinfo(),仔细查看每一个符合要求的流量包,得到。提示告知是文件传输的流量,那进去过滤http流量包即可,找到关于。,发现flag正确,所以后面看见的邮箱也就不需要试了。等关键字的数据包,另存后使用记事本打开,即可看到。还是上一题的流量包,我们知道发送邮件的协议一般为。在上上一题中,我们得到了黑客的攻击IP。这里要找文件名,因为是后门文件,一般是。我们首先尝试第一眼看到的。,首先过滤一下这个IP;发现次数最多的IP地址。2.或者搜索字符串。...
深育 2021 高校组 CTF 网络安全大赛 专业竞赛 真题 zip
12-07
深育 2021 高校组 CTF 网络安全大赛 专业竞赛 真题
C# 加解密 (对称,非对称,散列)
07-22
C# 加解密 1.对称加解密:AES , DES 2.非对称加解密: RSA 3.散列函数: MD5
2022广东省网络安全技能大赛-信息探索环境
06-21
2022广东省网络安全技能大赛-信息探索环境(misc
2023内蒙古自治区中职网络安全赛题-B模块
06-01
2023内蒙古自治区的中职网络安全比赛,旨在考察参赛者对Web安全、系统安全、Misc安全以及数据分析等多方面的能力。对于参赛者而言,这不仅是一次技术检验,更是一次提升个人技能和拓宽知识视野的宝贵机会。 B模块...
CTF——MISC习题讲解(流量分析winshark系列)
tlovejr的博客
03-14 7128
CTF——MISC习题讲解(流量分析winshark系列) 前言 上一章节我们已经做完一场比赛的杂项题目,这次给大家介绍一下不一样的,给大家来一期流量分析专题,在这个专题中,所有的题目链接都整理好了,就不给大家一一展示了,大家可以直接统一下载即可。 一、基础篇-----flag明文 首先打开文件发现以下界面 在这个界面直接ctrl+f,直接搜索flag关键字 然后直接查找就可以看到flag 二、基础篇----flag编码 1、bianma1 这个题直接查找flag的话是没有的,所以我们把flag直接编
Cobalt Strike流量特征分析
weixin_52741673的博客
07-21 5982
cobalt strike流量特征分析
【攻防世界misc--流量分析1】
ncnfjdjjd的博客
02-03 1320
延时注入,wireshark ,encodeURI编码
某市-2024【网安·理论】初赛-misc1-简单的流量分析-wp
mikumiku~
08-16 672
网安 论道 简单的流量分析 DASCTF 2024 misc
CTF——MISC习题讲解(流量分析winshark系列~三)
tlovejr的博客
03-16 5006
CTF——MISC习题讲解(流量分析winshark系列~三) 前言 上一章节我们已经做完一场流量分析杂项题目,接下来继续给大家讲解流量分析系列三。 一、ssl流量 首先打开题目得到两个文件,一个是log结尾的文件,另一个就是正常的流分包TLSv1.3都是经过加密的流量,所以我们第一步就应该解密,首先在我们文件里有一个解密的东西,我们进行导入 点击 编辑->首选项-> 然后需要我们把题目中自带的文件直接导入进去看看 导入完后就有http的协议 然后就发现有了flag的字眼 然后就直接TLS流
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜白君

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值