close

0x01 惡意文件

動調動調

OD直接動調,更具xxx的流程圖可以看到程序的整體結構,然後結合流程圖使用OD動調

最終ip地址是存在了[ebp+ecx-0x14]的位置

image-20220921212118854image-20220921211756576

將這一處跳轉和兩處的exit nop掉

跟蹤到[ebp+ecx-0x14]在內存中的位置,一直F8就可以了

image-20220921211850729image-20220921212429346

這裡是端口,小端排序1F 57,轉換成十進制就是8023,前邊在存儲ip地址的時候就已經存到[ebp-0x1D0]的位置了,所以最終ip:1.15.228.170:8023

flag{1.15.228.170:8023}

0x02 攻擊行為還原

FlaG.txt有密文

c=1566077545968868311749088444723100549024925747577903610033503

Id_rsa有

-----n=1606938044309278499168642398192229212629290234347717645487123-----

-----e=65537-----

在線分解n

image-20220921172425197#coding:utf-8importbinasciifromlibnumimportn2s,s2nimportbase64defgcd(a,b):ifa<b:a,b=b,awhileb!=0:temp=a%ba=bb=tempreturnadefegcd(a,b):ifa==0:return(b,0,1)else:g,y,x=egcd(b%a,a)return(g,x-(b//a)*y,y)defmodinv(a,m):g,x,y=egcd(a,m)ifg!=1:raiseException('modularinversedoesnotexist')else:returnx%mp=1267650600235241044365044382487q=1267650600260888172240281085029e=65537#tmp=base64.b64decode("qzogS7X8M3ZOpkUhJJcbukaRduLyqHAPblmabaYSm9iatuulrHcEpBmil7V40N7gbsQXwYx5EBH5r5V2HRcEIOXjgfk5vpGLjPVxBLyXh2DajHPX6KvbFpQ8jNpCQbUNq8Hst00yDSO/6ri9dk6bk7+uyuN0b2K1bNG5St6sCQ4qYEA3xJbsHFvMqtvUdhMiqO7tNCUVTKZdN7iFvSJqK2IHosIf7FqO24zkHZpHi31sYU7pcgYEaGkVaKs8pjq6nbnffr4URfoexZHeQtq5UAkr95zD6WgvGcxaTDKafFntboX9GR9VUZnHePiio7nJ3msfue5rkIbISjmGCAlj+w==")#=d=modinv(e,(p-1)*(q-1))#c=s2n(tmp)c=1566077545968868311749088444723100549024925747577903610033503#c=225031483444634056931067907865853799650197225351377050632290334721073031287701730297815850654473721939907812470206115171738967740183098960272963323728747481560137205796840356532306950935686580268408289864109695494835661414073083573249882362332920722000099781994315336570711188934565379141406727420346806389405536474102730682155998263607095718543239272202402139286809779368710600842078606046563228470023546348908618719147790859257980882643030144242048154566691808688844513142261099020381730517293884263384819159874220288293023868919557980548807831273449743064237407705987056818011286315950476959812697067649075359373253n=p*qm=pow(c,d,n)printn2s(m)image-20220921172502910

後半段直接google

沒想到真對了,非預期。

flag{SSH_Brute_Force}

0x03 留痕取證

前半段

凱撒密碼解密

後半段

flag{bufujiugana}

0x04 漏洞挖掘

Linux運行隨便輸個密碼

image-20220921172748571

Base16+柵欄解密得到flag

flag{d5000loginpassisDLBhh@0812}

0x05 密文破解

根據殘缺的密文和MD5寫腳本爆破

s='0123456789!@#$%^&*`~()_+-=[]{};:,.<>?/\'\"\\|'foriins:forjins:forkins:forlins:formins:#print(1)md5=hashlib.md5()c=str(i)+'1_1001_10_600_600_'+str(j)+str(k)+'00'+str(l)+str(m)+'7_202103301539'#print(c)md5.update(c.encode('utf-8'))d=md5.hexdigest()#print(c)ifd[:4]=='b9fd'andd[6:9]=='9d5':print(c)print(d)image-20220921172025781

flag{1500.87}

0x06 文件格式分析

使用binwalk查看文件發現文件是一個zip壓縮包,於是使用010editor修改文件頭為504B,修改後綴為zip並解壓文件,解壓後打開文件

使用basecrack工具進行解碼,得到flag

flag{W3lc0Me_t0_Xinx1}

E



N



D












Tide安全團隊正式成立於2019年1月,是新潮信息旗下以互聯網攻防技術研究為目標的安全團隊,團隊致力於分享高質量原創文章、開源安全工具、交流安全技術,研究方向覆蓋網絡攻防、系統安全、Web安全、移動終端、安全開發、物聯網/工控安全/AI安全等多個領域。

團隊作為「省級等保關鍵技術實驗室」先後與哈工大、齊魯銀行、聊城大學、交通學院等多個高校名企建立聯合技術實驗室,近三年來在網絡安全技術方面開展研發項目60餘項,獲得各類自主知識產權30餘項,省市級科技項目立項20餘項,研究成果應用於產品核心技術研究、國家重點科技項目攻關、專業安全服務等。對安全感興趣的小夥伴可以加入或關注我們。

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()