冰蝎2.0流量特征:
- 使用AES加密 + base64编码,AES会协商一个随机密钥进行加密
- 内置了十几个User-Agent头,每次请求时会随机选择其中的一个。因此当发现一个ip的请求头中的user-agent在频繁变换,就可能是冰蝎。
文件下载地址:
https://gitee.com/fengerxi/large-set-of-ctf-flow-problems/tree/master/3.流量日志分析分类/3.冰蝎/1.冰蝎2.0_php流量
这条命令筛选出HTTP请求:
http
看到有个冰蝎字样的请求:
再看看请求包体,是AES加密,判断是冰蝎:
如果是冰蝎2.0,前几个请求会协商AES的key,在前几个请求翻了一下,发现一个疑似AES key的东西:
找一个在线AES解密的试试,偏移量随便填,能成功解密:
对最后一个包进行解密:
得到一串base64,解码就是flag
原文始发于微信公众号(赛博安全狗):【HW蓝队面试必问系列】冰蝎2.0流量分析(附流量文件下载地址)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论