附件题:入门的黑客
题目描述:
在某次工控攻防演练中,防守方使用蜜罐捕捉到了某黑客在入侵时留下的恶意程序样本,现在要对该黑客进行画像,需要从该恶意程序中分析出反连时的IP和端口信息,看看聪明的你能否能找到他!!! 提交flag形式为flag{ip_端口}
附件下载:
/download/qpeity/34250397
附件解压缩,得到 一个ReadmE.txt,一个二维码 U2FsdGVkX1+idZVN8gu8RY6JEWTGk0ktAXF+N8hyW1U=.png,一个Trojan.rar压缩包(解压缩需要密码)。
ReadmE.txt里面没有什么内容。
某菜鸡黑客在入侵上位机时,不小心留下了自己的信息,看看聪明的你能否找到他!!!
看来要用二维码得到压缩包的解压缩密码。
用微微二维码解码,得到信息 —— IndustrialInternet。此外,其他工具查图没有有用信息。
再看图片名字,似乎可以解码,先base64尝试,得到 Salted__昅� 糆帀d茡I-q~7萺[U。
看到 Salted__开头,再结合U2Fsd开头,确定了这个是AES加密,前面IndustrialInternet是秘钥。解密得到密码 —— mima
在用 mima 把 Trojan.rar 解压缩,得到 Trojan.elf,这个elf放到linux环境里,赋予 0744 权限,执行一下。再用 ss -tup 命令查看这个木马进程在连接哪个IP哪个端口,结合提示得到flag形式为flag{ip_端口} —— flag{192.168.183.139_5678}
