2.2024长城杯&CISCN-威胁流量分析-WinFT

created: "2025-05-19 12:03"
tags:
  - 应急响应
  - 流量分析
Type: Note
aliases: 
updated: "2025-05-19 12:03"

1. 简介

某单位网管日常巡检中发现某员工电脑（IP：192.168.116.123）存在异常外连及数据传输行为，随后立即对该电脑进行断网处理，并启动网络安全应急预案进行排查。

文件名：82f13fdc9f7078ba29c4a6dcc65d8859.7z
文件大小：14.8g
下载链接1： https://pan.baidu.com/s/1hHX8J13EWRAfm3e-qakuDw 提取码：GAME
下载链接2： https://drive.google.com/file/d/14RBdzdozTHIwJs_tveivjwOqclcp2rhL/view
解压密码：3604e2f3-585a-4972-a867-3a9cc8d34c1d
来源：长城杯&CISCN官网

2. 受控机木马的回连域名及 ip 及端口是

（示例：flag{xxx.com:127.0.0.1:2333}）
Pasted image 20250519123113
火绒剑找到了可疑的exe文件。但是没有域名，我们直接用微步扫一下
Pasted image 20250519125604
爆红了。证明这个很可能就是木马文件，
Pasted image 20250519125645
域名:miscsecure.com

直接看字符串也可以找到
Pasted image 20250519163601.png

flag{miscsecure.com:192.168.116.130:443}

3. 受控机启动项中隐藏 flag 是

Pasted image 20250519130124

f^l^a^g^:JiM3ODsmIzEwNTsmIzk5OyYjMTAxOyYjNjUyOTI7JiMxMDI7JiMxMDg7JiM5NzsmIzEwMzsmIzMyOyYjMTA1OyYjMTE1OyYjMzI7JiMxMjM7JiM2NTsmIzY5OyYjODM7JiM5NTsmIzEwMTsmIzExMDsmIzk5OyYjMTE0OyYjMTIxOyYjMTEyOyYjMTE2OyYjMTA1OyYjMTExOyYjMTEwOyYjOTU7JiM5NzsmIzEwODsmIzEwMzsmIzExMTsmIzExNDsmIzEwNTsmIzExNjsmIzEwNDsmIzEwOTsmIzk1OyYjMTA1OyYjMTE1OyYjOTU7JiM5NzsmIzExMDsmIzk1OyYjMTAxOyYjMTIwOyYjOTk7JiMxMDE7JiMxMDg7JiMxMDg7JiMxMDE7JiMxMTA7JiMxMTY7JiM5NTsmIzEwMTsmIzExMDsmIzk5OyYjMTE0OyYjMTIxOyYjMTEyOyYjMTE2OyYjMTA1OyYjMTExOyYjMTEwOyYjOTU7JiM5NzsmIzEwODsmIzEwMzsmIzExMTsmIzExNDsmIzEwNTsmIzExNjsmIzEwNDsmIzEwOTsmIzEyNTs=

Pasted image 20250519130433

flag{AES_encryption_algorithm_is_an_excellent_encryption_algorithm}

4. 受控机中驻留的 flag 是

上一题提示我们 f^l^a^g^
everthing搜索
Pasted image 20250519135317
查看文件头是个压缩包
Pasted image 20250519135354
解压密码就是恶意软件的名字 flvupdate

flag{Timeline_correlation_is_a_very_important_part_of_the_digital_forensics_process}

5. 受控源头隐藏的 flag 是

桌面有一个 thunderbird，是一个邮件软件。点进去看到有好几百条消息
Pasted image 20250519135813
而且上一题给我们说时间线很重要，那我们应该多关注一下这个邮件的时间
打开邮件，按照附件排序
Pasted image 20250519140309
可以看一下后门文件的创建时间
Pasted image 20250519140343
那我们就优先看 11.20之后的邮件
看了几个带附件有邮件，发现有一个是rar的附件，其他都是htm jpg 等正常的格式
Pasted image 20250519140722
下载解压用微步查看
Pasted image 20250519140737
那这个多半是有问题的，我们可以看下来往的邮件记录
Pasted image 20250519141022

base64解码
Hello, this is the access link, <a href="https://autorevertech.com?key=%61%47%6E%76%76%49%78%6D%62%47%46%6E%49%47%6C%7A%49%48%74%55%61%47%55%67%53%6D%39%31%63%6D%35%6C%65%53%42%30%62%79%42%30%61%47%55%67%56%32%56%7A%64%48%30%3D">please click and get</a>. Thank you very much!

url解码
aGnvvIxmbGFnIGlzIHtUaGUgSm91cm5leSB0byB0aGUgV2VzdH0=

base64解码
hi，flag is {The Journey to the West}

6. 分析流量，获得压缩包中得到答案

neta直接提取出zip文件。
打开压缩包会报错，下面会给提示
Pasted image 20250519132801

解密会给出提示： Pasted image 20250519132955

用bandzip修复压缩包即可正常打开zip
Pasted image 20250519133030
然后发现 时间线关联非常重要 就是flag.txt的密码
解压获取flag

flag{a1b2c3d4e5f67890abcdef1234567890-2f4d90a1b7c8e2349d3f56e0a9b01b8a-CBC}

7. 通过 aes 解密得到的 flag

上一题给了我们 aes加密的密钥和IV以及加密模式CBC

先过滤这个ip地址
Pasted image 20250519141908
发现大量的tcp包，这里我们优先看http
Pasted image 20250519142005
发现很像aes加密的字符串
解密后发现不是的，
继续找，过滤字段长度为16倍数的
Pasted image 20250519144543
找的一个
解密获取flag
Pasted image 20250519144611

参考wp
2024CISCN&长城杯wp - rong_yan - 博客园