第六章 流量特征分析-小王公司收到的钓鱼邮件

在这里插入图片描述

简介

服务器场景操作系统 None

服务器账号密码 None None

任务环境说明

注:样本请勿在本地运行!!!样本请勿在本地运行!!!样本请勿在本地运行!!!

应急响应工程师小王在 WAF 上发现了一段恶意流量,请分析流量且提交对应 FLAG

1、下载数据包文件 hacker1.pacapng,分析恶意程序访问了内嵌 URL 获取了 zip 压缩包,该 URL 是什么?将该 URL作为 FLAG 提交 FLAG(形式:flag{xxxx.co.xxxx/w0ks//?YO=xxxxxxx}) (无需 http、https);

过滤 http ,查看响应码 200 的追踪流

在追踪流中我们可以发现内嵌 URL,拼接就是 flag

flag{tsdandassociates.co.sz/w0ks//?YO=1702920835}

2、下载数据包文件 hacker1.pacapng,分析获取到的 zip 压缩包的 MD5 是什么 作为 FLAG 提交 FLAG(形式:flag{md5});

题目意思简化一下就是把这个 zip 文件 MD5 加密,加密之后就是 flag,现在我们找这个 zip

直接在这里右键导出分组字节流即可;(注意后缀改为zip)

为了方便,我导出到桌面了,打开终端,使用命令 md5 加密

certutil -hashfile 1.zip MD5

flag{f17dc5b1c30c512137e62993d1df9b2f}

3、下载数据包文件 hacker1.pacapng,分析 zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序, 该域名是什么?提交答案:flag{域名}(无需 http、https)

根据题二我们已经成功导出zip,也发现了里面确实有个js文件,题目的意思就是让我们在js找出另一个域名下载后续恶意程序,问我们,这个域名是什么,那就右键记事本打开查看分析;

这段代码包含了一些注释以及一个对 o457607380 变量的操作

注释部分

   注释部分包含一些看似随机的拉丁文句子,它们并不影响代码的执行,只是对代码进行了说明或者掩盖了代码的实际意图。

    这些注释通常用于混淆代码,使得代码阅读和分析变得更加困难。

代码执行部分

   o457607380 += 'h';

   o457607380 += 't';

这两行代码对变量 o457607380 进行了字符串追加操作。

详细分析

:::tips
1、字符串操作
o457607380 += ‘h’; 将字符串 ‘h’ 追加到 o457607380 变量的当前值之后。
o457607380 += ‘t’; 将字符串 ‘t’ 追加到 o457607380 变量的当前值之后。

:::

:::tips
2、变量 o457607380 的用途

从代码来看,o457607380 变量被用来存储字符串,这些字符串通过逐步追加的方式构建。

具体用途可以是任何需要动态构建字符串的场景,比如生成特定的标识符、构建 URL 或路径等。

:::

:::tips
3、混淆技术

使用大量的注释和无关的文字是一种常见的代码混淆技术,目的是使恶意行为不那么显而易见。

这类混淆技术常用于恶意软件中,以绕过简单的静态分析工具和提高分析难度。

:::

总结

:::tips
这段代码通过逐步向变量 o457607380 追加字符串的方式构建一个新的字符串值。同时,代码中插入了大量无关的注释,可能是为了混淆和掩盖其实际目的。这种技术在恶意软件中比较常见,目的是增加逆向工程和分析的难度。

:::

那既然这样我们把注释去掉,接着进行总结并且美化一下;得到:

o457607380 = '';
o457607380+='h';
o457607380+='t';
o457607380+='t';
o457607380+='p';
o457607380+='s';
o457607380+=':';
o457607380+='/';
o457607380+='/';
o457607380+='s';
o457607380+='h';
o457607380+='a';
o457607380+='k';
o457607380+='y';
o457607380+='a';
o457607380+='s';
o457607380+='t';
o457607380+='a';
o457607380+='t';
o457607380+='u';
o457607380+='e';
o457607380+='s';
o457607380+='t';
o457607380+='r';
o457607380+='a';
o457607380+='d';
o457607380+='e';
o457607380+='.';
o457607380+='c';
o457607380+='o';
o457607380+='m';
o457607380+='/';
o457607380+='A';
o457607380+='6';
o457607380+='F';
o457607380+='/';
o457607380+='6';
o457607380+='1';
o457607380+='6';
o457607380+='2';
o457607380+='3';
o457607380+='1';
o457607380+='6';
o457607380+='0';
o457607380+='3';
l988241708 = '';
l988241708+='q';
l988241708+='u';
l988241708+='i';
l988241708+='.';
l988241708+='q';
console.log(o457607380, l988241708);

运行js的方式有很多种,这里我直接使用的是火狐里面的console(控制台),得到一个链接,尝试访问发现提示有病毒,那就猜测就是这个域名;

flag{shakyastatuestrade.com}

flag

flag{tsdandassociates.co.sz/w0ks//?YO=1702920835}
flag{f17dc5b1c30c512137e62993d1df9b2f}
flag{shakyastatuestrade.com}

好小子,离成功又近一步!!!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值