Misc

nan's analysis

下载附件之后，打开是一道流量数据包。
开始分析流量，首先看到的是FTP流量 追踪tcp，发现ftp账号密码

先记录一下，接下来发现一个zip文件，选择原始数据，然后另存为xxxx.zip


打开后需要密码，暂时不知道密码。
继续分析后面数据包，没有发现有用的信息。
登陆平台提供的ssh账号和密码登陆
在网站根目录发现shell.php 读取之后 发现另有玄机

使用base64把内容全部读取出来

在kali里面进行解码并输出到shell.php里面

使用vim打开 可以明显的看出是零宽隐写

使用在线网站进行解码

知道zip压缩密码格式为(abac)*4，并且和root密码相关。
使用python生成一个字典

# 压缩密码格式'abac'*4，abac为纯数字形如1213，此密码与root密码有关
with open('pass.txt', 'a+') as f:
    for a in range(10):
        for b in range(10):
            for c in range(10):
                new_pass = str(a) + str(b) + str(a) + str(c)
                print(new_pass)
                f.write((new_pass * 4) + '\n')

使用john进行字典爆破从上面导出的压缩包

打开压缩包获取到shell.php文件，没有什么信息可以利用。继续翻找网站根目录文件
在网站根目录uploads找到.index.php


在对.index.php进行解码之后，最后获得和shell.php一样的源代码。在最后多了一个串通过aes加密的密文

结合所提供的线索 把FTP密码keyisChunqiuGame00504做为aes的key，压缩包密码作为aes的iv
通过在线网站进行解密，获得root密码

使用su登陆root账号，在根目录找到flag