HW蓝队-HEX日志数据解码

  • A+
所属分类:安全文章

HW蓝队-HEX日志数据解码

△△△点击上方“蓝字”关注我们了解更多精彩




0x00 前言


    蓝队进行时,日志看到吐,来点山水压压惊。


0x01 日志记录的格式

    蓝队经常会去看日志和流量记录,从中发现可以的攻击攻击信息。


一般日志记录会存在三种情况:

    1、对于大部分WEB访问日志,常见设备的都是HTTP报文格式进行保存的。只要进行简单的url解码即可看到大部分数据。

HW蓝队-HEX日志数据解码


    2、对于小部分的WEB交互日志,部分憨批设备会使用十六进制保存

    3、对于TCP交互日志,设备基本也会使用十六进制保存。

HW蓝队-HEX日志数据解码

    

对于2、3两种情况,我们可以考虑对HEX数据进行转码,运气好能够看到一些明文数据。




0x02 HEX数据处理思路


1、将hex数据直接简单处理后作为原始HEX数据写入bin文件2、使用emeditor等支持多种编码的文本编辑器打开3、如果没法解析,再使用不同的文件编码进行尝试。4、否则,放弃解析。




0x03 HEX数据处理工具实现

#python2代码,Win下需要以ANSI格式保存,否则中文会乱码
# -*- coding:UTF-8 -*-#!/usr/bin/python2import time#将dd转变为xdddef str_hex_dd_2_sxdd(str_hex_dd): str_hex_sxdd = "" str_hex_sxdd = '\x' + str_hex_dd.strip().replace(" ",'\x') str_hex_sxdd = str_hex_sxdd.strip() if len(str_hex_sxdd) % 4 != 0: str_hex_sxdd = str_hex_sxdd + '0' * ( len(str_hex_sxdd) % 4) #print(len(str_hex_sxdd) ) #print(str_hex_sxdd) return str_hex_sxdd#转换xdd str 到byte数组def hex_str_2_byte_list(str_hex_sxdd): byte_shellcode = eval(""" bytearray(b'{}')""".format(str_hex_sxdd)) #type==bytearray return byte_shellcode#写入byte数组到bin文件def byte_list_2_bin_file( byte_shellcode, result_bin_pre): now_time = str(time.time()).split('.')[0] with open(result_bin_pre+'_'+now_time+'.bin', "wb+") as fo: fo.write(byte_shellcode) print('write byte_list_2_bin_file end !!!')import syswhile 1 : shellcode = raw_input("请输入16进制字符串:n") hex_sxdd_file = "hex-str-bdd-2-bin" str_hex_sxdd = str_hex_dd_2_sxdd(shellcode) byte_list = hex_str_2_byte_list(str_hex_sxdd) #print(byte_list) #win cmd下无法进行输出 byte_list_2_bin_file( byte_list, hex_sxdd_file)




0x04 工具使用示例


复制出日志二进制数据

HW蓝队-HEX日志数据解码


打开已打包好的程序 hex-str-bdd-2-bin.exe并粘贴数据

HW蓝队-HEX日志数据解码


将数据写入的bin文件,编辑模式直接打开输出的bin文件:

HW蓝队-HEX日志数据解码


运气好的话能够直接解码成功

HW蓝队-HEX日志数据解码


    不能解码的话尝试使用不同的编码格式进行打开。对于大部分二进制数据,解码失败也是极为正常的,时可尝试直接用HEX编辑模式打开。



0x05 中文数据解码案例:


日志数据:

63 65 70 74 69 6f 6e 3a 20 e6 89 a7 e8 a1 8c e6 95 b0 e6 8d ae e5 ba 93 e6 9f a5 e8 af a2 e5 87 ba e9 94 99 21 e6 9f a5 e8 af a2 e8 af ad e5 8f a5 ef bc 9a 53 45 4c 45 43 54 20 53 31 2e 2a 20 46 52 4f 4d 20 4b 48 5f 59 44 4b 48 20 53 31 20 57 48 45 52 45 20 53 31 2e 59 48 42 48 20 3d 20 3f 20 41 4e 44 20 53 31 2e 44 51 42 4d 20 3d 20 3f ef bc 8c e6 9f a5 e8 af a2 e5 8f 82 e6 95 b0 ef bc 9a 5b 30 33 30 38 30 30 30 31 38 38 35 30 37 33 35 37 2c 20 30


解码结果:

ception: 执行数据库查询出错!查询语句:SELECT S1.* FROM XX_XXXX S1 WHERE S1.XXXX = ? AND S1.XXXX = ?,查询参数:[030800018850XXXXX, 0





0x06  总结
NOVASEC公众号回复[共享],获取已经打包好的EXE文件


如果能够访问外网的情况下,可尝试使用在线的hex解码。

https://www.convertstring.com/zh_CN/EncodeDecode/HexDecode

当然,其肯定是不支持以多种编码格式打开的,遇到中文大概就是GG



END



如您有任何投稿、问题、建议、需求、合作、后台留言NOVASEC公众号!


加NOVASEC-MOYU 以便于及时回复

HW蓝队-HEX日志数据解码


感谢大哥们的对NOVASEC的支持点赞和关注

加入我们与萌新一起成长吧!


本团队任何技术及文件仅用于学习分享,请勿用于任何违法活动,感谢大家的支持!


本文始发于微信公众号(NOVASEC):HW蓝队-HEX日志数据解码

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: