2024-03-26
将下载下来的流量包放进VT检查一下,没有发现什么可以标签。
开头是DNS包,一个发送包,一个响应包,因为看到了response。
去网上搜了DNS包的格式,http://t.csdnimg.cn/2Thjp,找到了有answer下一个ip地址,应该有用。
ok,接下来是一堆TCP包,来搞一下含义。
这里有个TLS1.3协议,具体学习的文章链接在这里。
TLS1.3协议详解,感觉下面这个很重要。
再往下翻就是application data包,加密通话。
突然出现了一个POST包,不知道在干嘛,里面一大堆base64,解密了之后发现是一个json。
解密了也看不太懂,使用这些变量,JavaScript会调用带有错误格式参数的JSON触发CVE。使得使得WScript启动js文件。
grammaproject和sunproject可能有点关系,因为在github上找到一个gramma的编译环境。
tips:
学到个方法就是用binwalk找隐写文件,但是不太会用。
这个就到这里吧,这里是作者的小wp我是真不会。
大概就是,自己搭建了一个假的货币找回网站,然后在网站上放了一个zip文件,通过谷歌广告进行访问,下载zip文件并执行里面的js文件,会自动下载一个并wscript执行msi文件,进行病毒的下载。
下一个。
2023-03-02 (THURSDAY) - RIG EK
先看http包。
一个文件,两个恶意SSL,两个200.
把恶意SSL导出放进VT看。
利用CVE-2021-26411漏洞,进行RCE。
运行脚本,进行红栈,进行C2。