[2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密

shu天

已于 2022-03-17 23:03:16 修改

阅读量5.9k

点赞数 3

分类专栏：取证 ctf # misc 文章标签： cobaltstrike 流量分析 misc

于 2022-03-17 22:52:16 首次发布

不允许转载

本文链接：https://blog.youkuaiyun.com/weixin_46081055/article/details/123413246

版权

本文详细介绍了在2021绿城杯竞赛中，针对CobaltStrike流量的分析过程，包括webshell的Laravel框架漏洞利用，私钥的获取，以及如何使用特定脚本解密元数据和CobaltStrike流量，最终成功解密获取flag的关键步骤。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

[2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密

在这里插入图片描述

2021年“绿城杯”网络安全大赛-Misc-流量分析

[2021绿城杯] [Misc] 流量分析 + cobaltstrike 流量解密

本文来自csdn的⭐️shu天⭐️，平时会记录ctf、取证和渗透相关的文章，欢迎大家来我的主页：shu天_优快云博客-ctf,取证,web领域博主看看ヾ(＠ ˘ω˘ ＠)ノ！！

1.webshell分析

框架是Laravel，利用CVE-2021-3129命令执行写马。
分析发现webshell是/.config.php

tcp.stream eq 2509

在这里插入图片描述

去前两位
Y21k&ufbd335828f30f=0bY2QgL2QgIkQ6XFxwaHBzdHVkeV9wcm9cXFdXV1xcc2VjcmV0IiYiQzpcUHJvZ3JhbSBGaWxlc1w3LVppcFw3ei5leGUiIHggc2VjcmV0LnppcCAtcFA0VWs2cWtoNkd2cXdnM3kmZWNobyAzNzhkZjJjM

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

shu天

关注关注

3
点赞
踩
10

收藏

觉得还不错? 一键收藏
5
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

【pwn】2021 绿城杯（部分）

woodwhale的博客

10-04

3595

【pwn】2021 绿城杯（部分）前言补题，这场没报名，比赛的时候机房唯一报名的战队pwn穿了（tql），就没去做了 1、uaf_pwn 简单的uaf，free之后之后没有置0，直接申请unsorted bin泄露libc，再double free改malloc_hook写入one_gadget exp如下 def add(size): sla(">","1") sla("size>",str(size)) def free(index): sla("&gt

Cobalt Strike（CS）流量分析

小千安全

04-21

8380

为了识别 Cobalt Strike 生成的 HTTPS 流量，可以收集不同 TLS 实现的 JA3S 值，构建 JA3S 签名库，并结合其他特征和行为进行综合分析和判断。同时，反编译CS的源代码也可以得知，92L对应于x86位的木马，而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段，都包含了 JA3S 值传输过程过程中会有 ja3，这个值在系统上是固定的，win10是一种的但win11是另一种他们取决于操作系统。

5 条评论您还未登录，请先登录后发表或查看评论

应急响应-CS流量分析&心跳指令&特征提取

SuperherRo的博客

04-13

3250

战后-流量分析-CS

从一道例题分析CS流量解密

AomCC的博客

09-26

1557

2021绿城杯misc流量分析，CS流量解密

常见Webshell&重大漏洞的流量特征（附解密流量工具），从零基础到精通，收藏这篇就够了！_webshell常用字符

bdfcfff77fa的博客

04-23

928

实战攻防，流量分析绝对是绕不开的坎。但说实话，满屏加密流量，是救命稻草还是误报陷阱，真不好说。这篇文章，咱们就来扒一扒那些年我们追过的“加密流量”，顺便分享几个解密小工具，希望能帮你拨开云雾见月明。

2021年“绿城杯”网络安全大赛-Misc-流量分析

qq_43264813的博客

09-30

9219

2021年“绿城杯”网络安全大赛-Misc-流量分析 题目名称：流量分析 题目内容：一道复杂的流量分析 题目分值：200.0 题目难度：中等相关附件：流量分析的附件.zip 解题思路： 1.流量过一遍。发现.config.php 是 webshell。找攻击者如何写入 webshell。发现存在一些可疑的 POST 流量，UA 头是 python requests。通过返回包发现程序报错。使用 Laravel。发现流量中可疑的字符串。 2.网上查找资料发现是 CVE-2021-3129 漏洞攻击特征。

常见Webshell&重大漏洞的流量特征（附解密流量工具），从零基础到精通，收藏这篇就够了！

leah126的博客

04-16

870

绿城杯-Misc-流量分析

qq_49422880的博客

03-15

3770

绿城杯-Misc-流量分析0x01 复现开始 0x01 复现开始导出HTTP对象后开始浏览数据包，发现数据包中有奇怪的流量。经过网上查询，找到这是CVE-2021-3129 漏洞攻击特征,发现这是一种lavarel的流量数据包，是一个远程RCE的一个漏洞。这个流量是经过加密处理的，需要我们进行还原。将AAA*去掉把=00换为空 base64解码 <?php $str = 'P=00D=009=00w=00a=00H=00A=00g=00X=001=009=00I=00Q=00U=00

2021绿城杯 RE WP

abelxu

09-29

3387

逆向（100分题）变异RC4，关键点是密钥盒S的生成过程被魔改了。RC4原理参考之前的博客基本流程 1.初始循环填充key，key=“tallmewhy” 2.计算密钥盒S，但是不是标准的RC4算法。可以通过dump的方法将密钥和提取 3.ebp+ecx+var_534中是密文由于不想看魔改的S盒生成算法，所以在S盒生成完成的地方下断点，dump S盒填充就可以了。 exp #include<stdio.h> #include<string.h> struct rc4_

2021年“绿城杯”网络安全大赛-Web-Looking for treasure

qq_43264813的博客

09-29

1464

2021年“绿城杯”网络安全大赛-Looking for treasure 题目名称：Looking for treasure 题目内容：从中找到宝藏题目分值：200.0 题目难度：中等相关附件：Looking for treasure的附件6.txt 解题思路： 1.原题直接附上payload POST /validated/json-schema/validate Content-Type: application/json {"$schema":{"type":"object","propertie

2021年“绿城杯”网络安全大赛-PWN-GreentownNote

qq_43264813的博客

09-30

525

2021年“绿城杯”网络安全大赛-PWN-GreentownNote 题目名称：GreentownNote 题目内容：欢迎参加绿城杯~ 题目分值：200.0 题目难度：中等相关附件：GreentownNote的附件3.txt 解题思路： 1.检查保护保护全开 2.函数分析题目只给了add，show，delete add() show() delete() 3.思路 (1)首先free泄露libc (2)构造heap srop 照题目环境2.27，应该是攻击free_hook，把它的值改成set_

2021年“绿城杯”网络安全大赛

09-30

2021年“绿城杯”网络安全大赛是一场聚焦网络安全技术的竞技活动，旨在提升参赛者在信息安全领域的专业技能，增强社会对网络安全的重视。CTF（Capture The Flag）是网络安全竞赛的一种形式，参赛团队通过解决一系列...

2021-10-12T15_46_29.634969+00_00misc题_流量分析.rar

10-21

CTF附件题——MISC类型——数据库登录

恶意文档攻击溯源：从Office宏流量到CobaltStrike回连.pdf