WP
解密webshell流量
流量过一遍。发现.config.php是webshell。找攻击者如何写入webshell。发现存在一些可疑的POST流量,UA头是python requests。通过返回包发现程序报错。使用Laravel。
发现流量中可疑的字符串。
网上查找资料发现是CVE-2021-3129漏洞攻击特征。对字符串进行解密。解密方法如下:
-
1. 去掉AAA*
-
2. 替换=00为空
-
3. 进行base64解码
多解密几个就发现写入webshell。
Webshell密码为14433。查找一句话木马特征。找到解密方法。
得到大马内容,直接看关键点吧。原来是POST参数值去掉前2位就可以base64直接解密的。
层层解密,找到压缩包加密密码。
cd /d"D:\phpstudy_pro\WWW\secret"&"C:ProgramFiles7-Zip7z.exe" x secret.zip -pP4Uk6qkh6Gvqwg3y&echo378df2c234&cd&echo fb7f8f下面我们去找secret.zip,其实之前就看到过。里面内容就是.cobaltstrike.beacon_keys。
根据PK头发现是压缩文件。就是前后有webshell带上去字符串。导出通过winhex修改得到zip文件。使用上面的密码就可以解压。
解密cobaltstrike流量
参考wbglil大佬文章和工具。解密cobaltstrike公钥和私钥。解除私钥后解密元数据和key。通过key解密回传数据。
流程是:
-
解密私钥。
-
通过私钥解密元数据、获取AES KEY。
-
通过AES KEY解密通讯流量。
解密元数据获得AES KEY
提示:元数据就是心跳包,请求/en_US/all.js路径,通过cookie传输。通讯数据是POST请求/submit.php?id=xxxxxx,这个可以通过解密流量中的beacon.exe特征
我没有解密下发任务流量,直接解密主机回传数据。导出data数据通过base64编码,进行解密。
原文始发于微信公众号(backdoor):绿城杯-MISC-流量分析-WP
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论