1.拿到文件,发现是一个bin文件,使用虚拟机的binwalk对这个文件解压
binwalk来源
链接:https://pan.baidu.com/s/1uuwS0gkLUTsuYpjEeWH8rg
提取码:zdft
或者
路由器逆向分析------binwalk工具的安装_Fly20141201. 的专栏-CSDN博客
解压的格式是
binwalk -e 文件名
2.这个时候我们这个bin文件的文件夹里面就会出现另一个文件
我们这个时候就可以看到这个文件夹的右下角有一个类似于锁的东西
这是因为我们对这个文件的权限不够,我们没办法从里面拿出文件和把文件放进去,即只可读
那么该怎么办呢?
既然权限不够我们就给它权限
先输入sudo su进入管理员
注意这个时候输入的密码为了安全是不可见的
接下来就用语句chmod 777 文件名
给予它权限
发现这个时候它的锁就不在了
3.firmware-mod-kit分析
安装firmware-mod-kit
sudo yum install git build-essential zlib1g-dev liblzma-dev python-magic
git clone https://github.com/mirror/firmware-mod-kit.git
cd firmware-mod-kit/src
./configure
make
接下来把生成的那个文件夹里面的
120200.squashfs是一个linux的压缩文件,使用firme-mod-kit解压
复制到firmware-mod-kit文件夹里面
然后打开终端,使用语句
./unsquashfs_all.sh 120200.squashfs
然后就会在 squashfs-root文件夹的tmp文件夹下面生成一个backdoor软件
这个backdoor就是我们要分析的后门软件
4.对该文件进行查壳
发现具有upx壳
5。脱壳
6.ida分析
查找字符串得到一个类似于邮箱的字符串
跟进
得到端口v3为36667
根据题目的提示对 echo.byethost51.com:36667进行md5加密(MD5在线加密/解密/破解—MD5在线 (sojson.com))
得到flag为 33a422c45d551ac6e4756f59812a954b
带回网站进行验证
正确!!!!!!
总结:这是我第一次接触到这种题型,看了很多大佬的wp后才勉勉强强做出来