本文已参与「新人创作礼」活动,一起开启掘金创作之路。
Stealer流量分析
1、打开流量包,发现dns包中含有大量类似于base64的字符
2、复制其中的一段字符,放入CyberChef工具中分析,发现了PNG ,猜测所有的数据构成了图片,需要想办法处理数据,恢复图片
3、通过过滤条件dns and ip.src==172.27.221.13去掉重复的数据流量,设置不显示ip,时间,端口,只显示Info信息
4、将分组解析结果导出为data1.csv,改后缀为.txt,得到文件data1.txt,并将不需要的前后几行内容删除
5、进一步对数据进行处理
我们需要做什么:
a、去掉前后引号
b、去掉前三列字符和ctf.com.cn OPT字符串
c、去掉字符中base64中不存在的字符-.
d、将*字符替换成+字符
别问为什么?问就是经验尝试,其实是看别人博客知道的
借助python脚本,处理文本(小白略显粗糙的代码)
f=open("data1.txt","r")
line = f.readlines()
num = len(line)
i=0
while i < num:
s1=line[i]
s1 = str(s1[25:])
s1=s1.replace("*","+")
s1=s1.replace("-.","")
s1=s1.replace('ctf.com.cn OPT"',"")
with open("data2.txt","a") as f2:
f2.write(s1)
i+=1
f.close()
6、得到处理后的文件data2.txt,再利用脚本或者在线base64转换图片的网站得到图片,获取flag
在众多数据中含有两条无用的数据,导致我做了好久,记得删除
将base64转换成图片的的python脚本(直接借用网上的)
import os,base64
with open("data2.txt","r") as f:
imgdata = base64.b64decode(f.read())
file = open('1.jpg','wb')
file.write(imgdata)
file.close()
在线base64转换图片的网站,注意转换时候加上一个头部信息data:image/png;base64,,否则转不出来
