[2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密

已于 2022-03-17 23:03:16 修改
阅读量4.6k 收藏 10
点赞数 3
分类专栏: 取证 ctf # misc 文章标签: cobaltstrike 流量分析 misc
于 2022-03-17 22:52:16 首次发布
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/123413246
版权
ctf 同时被 3 个专栏收录
85 篇文章 9 订阅
订阅专栏
取证
49 篇文章 13 订阅
订阅专栏
misc
9 篇文章 1 订阅
订阅专栏

[2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密

在这里插入图片描述

2021年“绿城杯”网络安全大赛-Misc-流量分析

本文来自csdn的⭐️shu天⭐️,平时会记录ctf、取证和渗透相关的文章,欢迎大家来我的主页:shu天_CSDN博客-ctf,取证,web领域博主 看看ヾ(@ ˘ω˘ @)ノ!!

1.webshell分析

框架是Laravel,利用CVE-2021-3129命令执行写马。
分析发现webshell是/.config.php

tcp.stream eq 2509

在这里插入图片描述

去前两位
Y21k&ufbd335828f30f=0bY2QgL2QgIkQ6XFxwaHBzdHVkeV9wcm9cXFdXV1xcc2VjcmV0IiYiQzpcUHJvZ3JhbSBGaWxlc1w3LVppcFw3ei5leGUiIHggc2VjcmV0LnppcCAtcFA0VWs2cWtoNkd2cXdnM3kmZWNobyAzNzhkZjJjMjM0JmNkJmVjaG8gZmI3Zjhm
↓
base64解密
↓
cmd����~|�����cd /d "D:\\phpstudy_pro\\WWW\\secret"&"C:\Program Files\7-Zip\7z.exe" x secret.zip -pP4Uk6qkh6Gvqwg3y&echo 378df2c234&cd&echo fb7f8f

secret没找到,搜504b找zip文件头,导出,密码P4Uk6qkh6Gvqwg3y解压
在这里插入图片描述

2.解密 cobaltstrike 流量

(1)分析.cobaltstrike.beacon_keys得到私钥

使用脚本:github.com/Skactor/cs-scripts

-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----

在这里插入图片描述

(2)通过私钥解密元数据、获取 AES KEY

翻一翻http流,可以发现对/en_US/all.js的GET请求
在这里插入图片描述
Cookie 是一个 base64 字符串,通过配置文件可知这是 RSA 公钥加密的元数据。

Cookie: bGOniQ5nfrSmAW9fgdZSCC+42t5xvQt+B4SVEu6Q8MvC4rPn/OThepmxP6GjDiP1wCUB1EE3sqeXkwdHHMd9wikZhiQnjT9AB3e2RNacCVF+8v/nj/Rv85fSD2Phfc/wsaAjld9Fy8ZJJKz1wPwPY6lTxArMGFtX7W+VW/gzujI=

利用大佬的脚本解密:github.com/WBGlIl/CS_Decrypt
在这里插入图片描述

AES key:7c83bf30a6ad2dc410040d33e1399cf6
HMAC key:a77945b3a56687a39f90683cb24d00c2

(3)解密cs流量

tcp.stream eq 8956可以看到查看了flag

在这里插入图片描述
看下一条submit.php的tcp.stream eq 8957
在这里插入图片描述
base64编码后解密,得到flag
在这里插入图片描述

AAAAUEMMkbE5t8F9o7Y/skceLIUl8f8QwiG2AhSsK6ikn9EpyCM8Ad0ohMewa61SGm2uX1i7DrNe7H659kwjd9PnUliFArVYKvm58klCst+PQnmM

在这里插入图片描述

参考wp:
wkr.moe/ctf/610.html
blog.nviso.eu/2021/10/27/cobalt-strike-using-known-private-keys-to-decrypt-traffic-part-2/

本文来自csdn的⭐️shu天⭐️,平时会记录ctf、取证和渗透相关的文章,欢迎大家来我的主页:shu天_CSDN博客-ctf,取证,web领域博主 看看ヾ(@ ˘ω˘ @)ノ!!

shu天
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
C# 加解密 (对称,非对称,散列)
07-22
C# 加解密 1.对称加解密:AES , DES 2.非对称加解密: RSA 3.散列函数: MD5
[陇剑 2021]webshell
最新发布
haosha。的博客
01-20 1847
[陇剑 2021]webshell 题目做法及思路解析(个人分享)
MISC-流量分析
weixin_51086098的博客
04-11 860
MISC-流量分析 题目: 附件下载链接 使用工具:Wireshark,Base64在线编译器 过程: 下载题目附件得到.pcap文件,使用wireshark打开该文件,之后我尝试搜索字符串flag,得到下图结果 此时我们可以看到发送了一个叫flag.zip的文件,并且文件发送形式为SMTP,即为邮件发送,我们可以知道SMTP常使用TCP 协议,所以我们截取TCP流得到下图 其中我们可以看到全文使用base64加密方式,我们使用上文提到base64在线解密链接,解密1eLA7…这段字符串,得
CS的流量行为特征
门柚的博客
07-26 5180
CS的流量行为特征
2021-10-12T15_46_29.634969+00_00misc题_流量分析.rar
10-21
CTF附件题——MISC类型——数据库登录
2021年“绿城”网络安全大赛
09-30
2021年“绿城”网络安全大赛
2021年“绿城”网络安全大赛-Misc-流量分析
qq_43264813的博客
09-30 7722
2021年“绿城”网络安全大赛-Misc-流量分析 题目名称:流量分析 题目内容:一道复杂的流量分析 题目分值:200.0 题目难度:中等 相关附件:流量分析的附件.zip 解题思路: 1.流量过一遍。发现.config.php 是 webshell。找攻击者如何写入 webshell。发现存在一些可疑的 POST 流量,UA 头是 python requests。通过返回包发现程序报错。使用 Laravel。 发现流量中可疑的字符串。 2.网上查找资料发现是 CVE-2021-3129 漏洞攻击特征。
绿城-Misc-流量分析
qq_49422880的博客
03-15 2809
绿城-Misc-流量分析0x01 复现开始 0x01 复现开始 导出HTTP对象后开始浏览数据包,发现数据包中有奇怪的流量。 经过网上查询, 找到这是CVE-2021-3129 漏洞攻击特征,发现这是一种lavarel的流量数据包,是一个远程RCE的一个漏洞。这个流量是经过加密处理的,需要我们进行还原。 将AAA*去掉 把=00换为空 base64解码 <?php $str = 'P=00D=009=00w=00a=00H=00A=00g=00X=001=009=00I=00Q=00U=00
Cobalt Strike(CS)流量分析
小千安全
04-21 6257
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
从一道例题分析CS流量解密
AomCC的博客
09-26 426
2021绿城misc流量分析,CS流量解密
2021-10-12T15_49_10.808949+00_00usb流量分析.zip
10-21
CTF附件题——usb流量分析 USB是 UniversalSerial Bus(通用串行总线)的缩写,是一个外部总线标准,用于规 范电脑与外部设备的连接和通讯,例如键盘、鼠标、打印机、磁盘或网络适配器等等。 通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的 传输内容等一系列信息。
misc-流量分析+解析.zip
10-10
里面很多学习的数据包 也有答案 过程 都是很值得学习的
2021狼山论剑工控安全大赛——Misc 部分流量分析
Mark的博客
09-02 302
01 流量分析 操作过程: 将题目文件导入 wireshark, wireshark 筛选 s7 协议, 对筛选出的内容进行查看,获取到 base64 编码格式的 flag 值 结果: flag{I2s_ComE} 02 协议分析 操作过程: 通过查看数据包找到一串 base64 编码内容,进行解码即 flag 结果: flag{s45egWT4} ...
BUU-crypto-刷题记录05
m0_57291352的博客
06-06 220
rsarsa 题目 Math is cool! Use the RSA algorithm to decode the secret message, c, p, q, and e are parameters for the RSA algorithm. p = 96484230290105156765905517400104265349457376392357398006439893520398525072984913995610350091634270503701075707336333509116
Bugku Crypto rsa wp
shifaziran2007的博客
09-09 864
N : 46065781388428960989637205658554417248531811702624626389974432923749270182062721955600778820059011913617389598900138215153600685382332638289236314360431451868638878600298924880081486124859507532627709964533869497709745916853089877600729369572810197606.
流量特征分析--------------- cs、菜刀、蚁剑、冰蝎
qq_63278311的博客
11-16 591
2) 指令执行完后,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码。") 此数据由冰蝎加载器发出的,已经定义好的。1) 下发指令时,通过心跳包接收指令,这时,server端返回的包更长,甚至包含要加载的dll模块数据。3) 不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔进行判断。1) 在请求的返回包中,通信数据均隐藏在jqeury*.js中。1) 间隔一定时间,均有通信,且流级上的上下行数据长度固定;如果用默认的蚁剑测试,连接时会请求两次。
2021年“绿城”网络安全大赛-PWN-GreentownNote
qq_43264813的博客
09-30 468
2021年“绿城”网络安全大赛-PWN-GreentownNote 题目名称:GreentownNote 题目内容:欢迎参加绿城~ 题目分值:200.0 题目难度:中等 相关附件:GreentownNote的附件3.txt 解题思路: 1.检查保护 保护全开 2.函数分析 题目只给了add,show,delete add() show() delete() 3.思路 (1)首先free泄露libc (2)构造heap srop 照题目环境2.27,应该是攻击free_hook,把它的值改成set_
2021年“绿城”网络安全大赛-Web-[warmup]ezphp
qq_43264813的博客
09-29 1444
2021年“绿城”网络安全大赛-[warmup]ezphp 题目名称:[warmup]ezphp 题目内容:很简单的一道PHP 题目分值:100.0 题目难度:容易 相关附件:[warmup]ezphp的附件13.txt 解题思路: 1.F12看见提示 flag 2.根据报错提示,知道flag文件的位置。 ./pages/flag.php,以及调用了assert的断言函数 3.那么就可以任意命令执行了。 ?link_page='.system("cat ./pages/flag.php").' .
[ctfshow]web入门——反序列化(web261+web264-web267)
ShenZ的博客
03-02 5900
[ctfshow]web入门——反序列化 反序列化 unserialization [ctfshow]web入门——反序列化 web261 web264 str_replace字符串覆盖逃逸 web265 web266 web267 yii系列 反序列化 unserialization[ctfshow]web入门——反序列化
2023蓝帽初赛misc下载
12-04
2023蓝帽初赛misc下载是指在2023年举办的蓝帽网络安全竞赛中的一项miscellaneous(杂项)类题目的下载。在初赛中,参赛选手需要下载与miscellaneous相关的题目文件或资源,并进行分析和解决。 首先,参赛选手需要前往蓝帽竞赛官方网站或相关论坛查找与初赛misc下载相关的公告或指引。这些网站通常会提供下载链接或资源分享的方式,以方便选手获取题目所需的文件或资源。 其次,根据所提供的下载链接,选手可以点击链接进行下载,也可以使用迅雷、qq旋风等下载工具进行高速下载,以确保下载的文件完整和无误。 在完成下载后,选手需要对下载的文件进行验证。可使用md5校验工具对下载后的文件进行校验,以确保文件的完整性和正确性,防止下载过程中出现错误导致文件损坏。 之后,选手可以开始进行miscellaneous题目的解析和答题。首先,解压下载的文件,查看所提供的题目资源、源代码或二进制文件等。根据题目要求和提示,选手可以使用各种工具和技术,如逆向工程、数据分析、密码学等,进行问题的分析和解决,并找出相应的答案或flag。 最后,选手需要将自己的解题过程、思路和答案记录下来,并按照比赛规则的要求提交答案。可以是一个文本文件或截图,或是将解决问题的代码或脚本提交到竞赛平台或指定的邮箱中。 总之,2023蓝帽初赛misc下载是参赛选手在参加蓝帽网络安全竞赛中所需进行的一项任务。选手需要在蓝帽官方网站或相关论坛上获取下载链接并下载题目相关的文件或资源,然后对其进行验证、解析和解决,最后提交答案以完成竞赛的要求。这项任务对选手的网络安全技术、解题思维和团队合作能力都提出了较高的要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值