文章探讨了一道涉及Webshell的题目,重点在于通过POST方法传递的参数。作者观察到16进制编码用于规避WAF,并在响应体中找到疑似Base64编码的内容。使用Python的re模块对payload进行复原,注意到解码顺序为Base64->AES->Base64->混淆。通过去除前后10个字符并反转解码过程,成功解密出隐藏信息。
这道题名字一看就是webshell,提到webshell肯定是要使用post来传参,查看统计也能发现
http.request.method eq POST筛选,照例直接看最后一个追踪它的流
一眼16进制来躲waf,并且在最后一段返回体发现了疑似base64的编码
利用re模块来对pyload进行复原:
这里注意输出的顺序是base64->Aes->base64->混淆
混淆可以在第二段可以发现之前输出了"8c2b4",最后输出了"e2e10",这里我没有读完代码,我还以为之前除了什么操作把前面的流全部解码了一遍 (:<
所以可以判定前面留服务器返回的肯定是混淆之后的,所以把前置和后置的10个字符去除,然后在将encode改成decode解码(笑)
得出后解密:
扫一扫
1019
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
