[2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密
[2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密
2021年“绿城杯”网络安全大赛-Misc-流量分析
- [2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密
- 1.webshell分析
- 2.解密 cobaltstrike 流量
- (1)分析`.cobaltstrike.beacon_keys`得到私钥
- (2)通过私钥解密元数据、获取 `AES KEY`
- (3)解密cs流量
本文来自csdn的⭐️shu天⭐️,平时会记录ctf、取证和渗透相关的文章,欢迎大家来我的主页:shu天_CSDN博客-ctf,取证,web领域博主 看看ヾ(@ ˘ω˘ @)ノ!!
1.webshell分析
框架是Laravel,利用CVE-2021-3129命令执行写马。
分析发现webshell是/.config.php
tcp.stream eq 2509
去前两位
Y21k&ufbd335828f30f=0bY2QgL2QgIkQ6XFxwaHBzdHVkeV9wcm9cXFdXV1xcc2VjcmV0IiYiQzpcUHJvZ3JhbSBGaWxlc1w3LVppcFw3ei5leGUiIHggc2VjcmV0LnppcCAtcFA0VWs2cWtoNkd2cXdnM3kmZWNobyAzNzhkZjJjMjM0JmNkJmVjaG8gZmI3Zjhm
↓
base64解密
↓
cmd����~|�����cd /d "D:\\phpstudy_pro\\WWW\\secret"&"C:\Program Files\7-Zip\7z.exe" x secret.zip -pP4Uk6qkh6Gvqwg3y&echo 378df2c234&cd&echo fb7f8f
secret没找到,搜504b找zip文件头,导出,密码P4Uk6qkh6Gvqwg3y
解压
2.解密 cobaltstrike 流量
(1)分析.cobaltstrike.beacon_keys
得到私钥
使用脚本:github.com/Skactor/cs-scripts
-----BEGIN PRIVATE KEY-----
MIICdwIBADANBgkqhkiG9w0BAQEFAASCAmEwggJdAgEAAoGBAIqpewO+lqNYuxQhQwq7pMdM7CP9
2uer5FkUA41vPaelrbpqr1ujH95Q7Rfqt7E7Vc+Xx5dYQCoRaysjNm+UfuRcFocLHG2ugf4+/NEX
/NFE+gI279wXfC+zZ0MGFMQIAC1TClaiMvALwMB9nBuXK/CErC754co9cIbaIkCl/sRXAgMBAAEC
gYBqlSFYXHwfrMmIDJUiv99FzovIko1b/FV2Xxrn8TS8E265Vt3Zm0aYtS25b5Ko6YnpGqqxW4Ve
kKsGqndiRwtNSbIilU1EqWqfdBmucptnISgDdx+ofWbInTRl+leBzDW4Zsl2sMvMmmyhsc/X35pG
bH2lRXXEegPzradtyBwhUQJBANt2IC4p5CQW2UxXVjmrTbA+CuJLfnZE+97HCjzZPi/gUiF4akFQ
x46x0vT1RmcalqUg1Prl7OoKb05Lmwm0XukCQQChv4blpfqVcdz9X6MGJqeaiC22EPZn+2dhm4Pb
ZIhurs57M7+dqlYxoG6LneU0H1N8ieeH9fb9ixG/8+F7iIE/AkEAzyzYfDv3r0oSoMriD1bz5Cjt
xWtXWvcMfuaPd5nt5uxxHD+8ryQ+/ypH6A+UAslK5V/1L1XXLankIZmmJqcr4QJAGUAkF//EUcY3
wJpIgfJQ4e/2auDVBsCZkAROHlbgcZ76fwNCG6P21sJ733Hj0TI+v0dsDK6aQ1SNjdDN15Ik0wJB
AK7C5l0QF8NRlIw2+tPUSDVy/PRUVmpRRd4cD4HXNtVMg0Dr3L7vx9PeyJH0EFuaVWItdBDILP0H
zUR1/wk5ZFY=
-----END PRIVATE KEY-----
(2)通过私钥解密元数据、获取 AES KEY
翻一翻http流,可以发现对/en_US/all.js的GET请求
Cookie 是一个 base64 字符串,通过配置文件可知这是 RSA 公钥加密的元数据。
Cookie: bGOniQ5nfrSmAW9fgdZSCC+42t5xvQt+B4SVEu6Q8MvC4rPn/OThepmxP6GjDiP1wCUB1EE3sqeXkwdHHMd9wikZhiQnjT9AB3e2RNacCVF+8v/nj/Rv85fSD2Phfc/wsaAjld9Fy8ZJJKz1wPwPY6lTxArMGFtX7W+VW/gzujI=
利用大佬的脚本解密:github.com/WBGlIl/CS_Decrypt
AES key:7c83bf30a6ad2dc410040d33e1399cf6
HMAC key:a77945b3a56687a39f90683cb24d00c2
(3)解密cs流量
tcp.stream eq 8956
可以看到查看了flag
看下一条submit.php的tcp.stream eq 8957
base64编码后解密,得到flag
AAAAUEMMkbE5t8F9o7Y/skceLIUl8f8QwiG2AhSsK6ikn9EpyCM8Ad0ohMewa61SGm2uX1i7DrNe7H659kwjd9PnUliFArVYKvm58klCst+PQnmM
参考wp:
wkr.moe/ctf/610.html
blog.nviso.eu/2021/10/27/cobalt-strike-using-known-private-keys-to-decrypt-traffic-part-2/
本文来自csdn的⭐️shu天⭐️,平时会记录ctf、取证和渗透相关的文章,欢迎大家来我的主页:shu天_CSDN博客-ctf,取证,web领域博主 看看ヾ(@ ˘ω˘ @)ノ!!
[2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密相关推荐
- 2021 绿城杯 wp
2021 绿城杯 wp Web ezcms ezphp Misc [warmup]⾳频隐写 Re easyre Crypto RSA1 [warmup]加密算法 Pwn null_pwn uaf Gr ...
- 网站流量分析,网站流量统计,不用插入代码直接在线免费查询网站流量
网站流量分析,网站流量统计,不用插入代码直接在线免费查询网站流量 http://www.jaeer.com/site/ 示例:
- WAP网站流量分析 WAP流量统计 wap网站流量统计
随着3G在中国的发展以及手机上网用户的增长,免费wap做为手机广告的载体,业内人士预测在未来的中国无线网络营销将大放异彩. WAP的兴盛标志着市场已经走向成熟,WAP站长迫切需要如何了解用户,把握用户 ...
- 网络流量分析/网络流量监测
如今,产生了大量的可工作在各种平台上相关软硬件工具,其中有商用的,也有free的. 其中,基于网络协议分析的工具有: Unix平台下的: tcpdump.ngrep.snort.Dsniff.Ette ...
- 2021津门杯MISC之m1bmp
下载文件后解压,发现是一个bmp图片 习惯性检查一下属性(虽然大概率不可能这么简单了) 3. 然后用图片隐写工具stegsolve查看一下 4. 依次检查各个通道均未发现异常,常看最低有效位 5. 经 ...
- 如何使用 Druid 和 Kafka 构造 Kappa 架构完成流量分析
NTT 是一家全球电信公司,总部设在日本东京.在<财富>世界 500 强中,NTT 是世界第四大电信公司.NTT 通信 (NTT Com) 是 NTT 的子公司,其全球 IP 网络 (GI ...
- 数据分析方法论2——流量分析
一.背景 有了指标体系和报表之后,最重要的事情就是每天看各种数据了,这也就是流量分析 流量分析:流量指的是广义的流量,从哪里来,经过什么,产生什么价值,如果它波动了,为何波动 1)渠道分析--从哪里来 ...
- 大数据离线---网站日志流量分析系统(1)---简介及框架
本次介绍网站日志流量分析系统,首先是简介和架构.后面会对架构中需要的每个模块的进行逐个介绍.本篇主要分为两个部分 网站日志流量分析系统简介 整体技术流程和架构 1. 网站日志流量分析系统简介 1.1点 ...
- buuuuu流量分析刷题
[XMAN2018排位赛]AutoKey 下载附件,用wireshark打开分析是个usb流量 先用UsbKeyboardDataHacker解出来 python2 UsbKeyboardDataHa ...
最新文章
- 手把手教你入门和实践特征工程 的全方位万字笔记,附代码下载
- OpenGL Blinn-Phong Shader实例
- 轻松理解vuex的运用和常见问题,顺便学会vue企业必备实例
- S3C2440、S3C2450和S3C6410之间区别
- process 类 java_编写可执行jar——java的Process类的使用(二)
- Linux学习 - awk使用
- 容器编排技术 -- Kubernetes kubectl create deployment 命令详解
- Linux/UNIX不同shell环境下数组的处理
- oracle索引可以加到in,为什么你加的索引不管用?
- linux等 入门思维导图
- 小米网卡驱动_小米是什么?(上)
- 计算机组成与结构知识点总结
- ubuntu相关软件下载
- 网络安全入门基础知识
- 无人机倾斜摄影测量土方计算
- allegro 尺寸标注操作未到板边的处理
- pacman安装ubuntu_pacman命令 – 软件包管理器
- 小米路由 php,小米路由
- python 文字识别 tesseract_Python_文字识别引擎试用:tesseract-ocr
- 设计模式——观察者(监听者,订阅)模式||线程安全||c++详解