1. 请找到攻击者所使用到的隧道工具的文件名称(如 Supertools.exe ),请问文件名称的md5 lowercase的值是什么?
2. 攻击者试图将攻击过程中所使用的隧道工具重命名进行隐藏,请问重命名后的文件名是什么?
3. 攻击者在服务器上窃取了一份客户数据文件,请问在这份文件中,第418条记录所记录的客户的电子邮箱地址为?
根据题目,可以得知使用了隧道工具,查看流量发现有些DNS请求的域名存在异常。
猜测使用了dnscat2隧道工具,将dns域名提取出来。
"C:Program FilesWiresharktshark.exe" -r suspicious_traffic.pcap -T fields -e dns.qry.name > data.txt
通过if过滤掉不需要的部分,再把加密部分hex即可得到明文。
str1 = ""with open('data1.txt', 'rb') as f:lines = f.readlines()for i in lines:if b'microsofto365.com' in i and len(i) > 100 and i[:-20].decode() not in str1:str1 = str1 + i[:-20].decode()str1 = str1.replace('.','')str2 = bytes.fromhex(str1)print(str2.decode('utf-8','ignore'))
dnscat2-v0.07-client-win32.exe
win_install.exe
bneal@gmail.com原文始发于微信公众号(皓月的笔记本):【靶场合集】CTF-NSSCTF Round#16 Basic:Litter
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论