应急靶场(9):【玄机】流量特征分析

一、恶意程序访问了内嵌 URL 获取了 zip 压缩包,该 URL 是什么?

使用Wireshark打开流量包,在File -> Export Objects -> HTTP中查看HTTP协议传输的文件。

选择Content Typeapplication/octet-stream的文件,Wireshark会自动定位到对应请求。在请求详情中,可以看到传输的文件名是TD.zip,请求的URI是//?YO=1702920835。

flag{tsdandassociates.co.sz/w0ks//?YO=1702920835}

二、获取到的 zip 压缩包的 MD5 是什么?

File -> Export Objects -> HTTP中选择Save All,下载所有HTTP协议传输的文件。

使用命令md5sum %3fYO=1702920835获得zip压缩包的MD5值。

flag{f17dc5b1c30c512137e62993d1df9b2f}

三、zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序, 该域名是什么?

解压压缩包,获得两个文件:Nuj.js和y。

Javascript文件含有大量注释,使用在线JS去注释网站(.html)把注释去掉。

Javascript去掉注释后,很容易看出某个变量是URL地址。

把相关代码放到浏览器中的console里执行一下,获得变量的值:。

flag{shakyastatuestrade}

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。原始发表:2024-07-23,如有侵权请联系 cloudcommunity@tencent 删除网站变量流量协议域名