昨天参加了首届数据安全技术应用职业技能竞赛,其中一道题目考察了哥斯拉流量的解密分析,赛场没备解密脚本没做出来几题。(还是太菜了)说实话好久之前就有把主流webshell管理工具的流量特征总结一下的想法。这次算是个机会吧。
哥斯拉的流量的解密脚本是将密码=后的字符提取到的字符先url解码和base64解码,最后在与连接马时利用的密钥的前16位md5值进行异或得到的。
首先在第一次进行webshell连接的时候会发送三个请求包。
将第一个请求包进行解密,是在定义和预置一些函数,以后的每一步操作都去通过这些函数去实现。
第二个包发送了一个methodName test用来测试连接是否成功,成功返回一个ok。
第三个包发送了getBasicinfo,获取服务器的基本信息。![记录一次哥斯拉流量解密分析]( "记录一次哥斯拉流量解密分析")
第四个流量包下面执行了ifconfig命令,解密流量包后发现使用了execCommand去执行了命令
第六个流量包getFiledirName去初始化当前目录下的所有文件
第七个流量包使用uploadFile上传了test.txt文件
继续分析readFileContent打开了ssrf.php文件
1.黑客使用哥斯拉成功连接受害服务器并返回数据的时间是_____________。(格式为YYYY-MM-DD_HH:MM:SS)
rule.php毫无疑问是后门文件,第一次POST传回值的时间为2023-09-18_22:00:14
2.受害服务器的上游服务器IPv6地址是_________________。
fd15:4ba5:5a2b:1008:60b9:ff63:528e:149d
4.黑客留下的后门IP地址和端口号是________________。(格式为IP_PORT)
5.受害服务器上的中间件、中间件版本、PHP版本、框架名以及对应版本为___________。(格式为:中间件:中间件版本_PHP版本_框架名:框架版本,如tomcat:9.0.0_5.4.0_yii:2.38.0)
感觉phpinfo上都写了但是多次提交答案不对,因为还有个两个压缩包密码没有破解,可能准确版本号在version.zip但是不知道如何去解,当时猜想是黑客使用了压缩命令去打包的,但是解密了每一步的流量,发现黑客在进行反弹shell和suid提权,并未发现进行压缩。有知道的师傅可以告知一下。
![记录一次哥斯拉流量解密分析]( "记录一次哥斯拉流量解密分析")
![记录一次哥斯拉流量解密分析]( "记录一次哥斯拉流量解密分析")
原文始发于微信公众号(飞奔的狸花猫):记录一次哥斯拉流量解密分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/2491116.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论