金融业网络安全CTF-Backdoor

2018 年 8 月 10 日 0 条评论 232 次阅读 0 人点赞

某银行安全团队在分析流量日志的过程中,发现了在 DMZ 区域的服务器被黑客入侵且放置了后门。运维部门提取出了流量中最可疑的部分,据有经验的安全专家分析,这里面应该包含了黑客上传的入侵证据文件,你能找到黑客入侵过程中出现了什么证据信息吗?

链接: https://pan.baidu.com/s/1wUPUflU2tM2RUVAl2rYJpQ 密码: 2nyr

下载下来以后用wareshark打开,发现HTTP流量,追踪一下TCP流,发下如下一段代码。前面是菜刀的一句话木马请求,z1参数带了HEX的数据流,504B这两个字节可以猜测为ZIP压缩

将这段复制下来存为txt,打开010editor,以HEX格式导入,可以看到有一张png图片

把文件另存在zip,打开压缩包得到图片内容,是一张二维码。扫描一下获取flag

 

flag{b3c4r3fortheChinaChopperFHGJKUI^U%}

kenvi

这个人太懒什么东西都没留下