西湖论剑2025Misc—cscs

西湖论剑2025cscs详解

Cobalt Strike流量主要是找beacon，主要以两种形式呈现

·一小段shellcode（几百个字节），通常叫做stager shellcode，这段代码下载整个的beacon。

·一个完全的beacon：一个可以反射性加载的PE文件

先来了解下cs流量的特征

cs流量特征：

1，基础特征：心跳包

2，请求特征：下发的指令，url路径，老版本固定的ua头

3，源码特征：checksum8 （92L 93L）

回到题目给的附件，我们来判断下给的流量包是否存在魔改

判断魔改

def checksum8(text):  
    if len(text) < 4:  
        return 0  
  
    text = text.replace("/", "")  
  
    sum_value = 0  
  
    for char in text:  
        sum_value += ord(char)  
  
    return sum_value % 256  
  
  
if __name__ == "__main__":  
    print(checksum8("mB9u"))

输出为93，64位的后门，未魔改

解密心跳包

导出mB9u文件，后缀改为.vir，这是我们要的beacon,我们需要1768.py去分析，

1768.py是加密和解密beacon的配置文件

https://blog.didierstevens.com/2021/10/11/update-1768-py-version-0-0-8/

运行可以得到公钥等信息

公钥数据

30819e300d06092a864886f70d010101050003818c00308188028180525e1781f2f02d132a7818a6d269baddbf39352c8d20290ec2294fbe4d77e6549ef4766d8b0e1620000adfbd7aff99cd72f05623eb0def202265cf631dd895acd5e981da8424c03a295895c8194a31641f2eecd5a8715ca89cdbf9433c5d437538767666c3bdb0f8629555375b574fe408a94ae82f92960085d416374f1654b30203010001

from hex to base64

MIGeMA0GCSqGSIb3DQEBAQUAA4GMADCBiAKBgFJeF4Hy8C0TKngYptJput2/OTUsjSApDsIpT75Nd+ZUnvR2bYsOFiAACt+9ev+ZzXLwViPrDe8gImXPYx3YlazV6YHahCTAOilYlcgZSjFkHy7s1ahxXKic2/lDPF1DdTh2dmbDvbD4YpVVN1tXT+QIqUroL5KWAIXUFjdPFlSzAgMBAAE=

ps:

import base64

def hex_to_base64(hex_string):
    # 将十六进制字符串转换为字节数据
    byte_data = bytes.fromhex(hex_string)
    # 将字节数据编码为 Base64
    base64_data = base64.b64encode(byte_data)
    # 返回 Base64 字符串（解码为 UTF-8）
    return base64_data.decode('utf-8')

# 示例用法
hex_input = "" 
base64_output = hex_to_base64(hex_input)
print("Base64 输出:", base64_output)

这边建议使用厨子，因为后面会有超长的hex字节，会卡爆

获取私钥

本题流量是通信流量

通信流量是通过生成的 AES Key 和 HMAC Key 进行加密的

AES Key 和 HMAC Key是根据 TeamServer 端接收到第一个心跳包时用私钥去解密心跳包中公钥加密的 cookie根据解密出的协商公钥生成的

用cs-decrypt-metadata去解cookie发现根本解不开

我们用开源的rsatools去解私钥

https://github.com/RsaCtfTool/RsaCtfTool

帮我刚刚得到的公钥转换为标准格式并保存为key.pub

终端命令

python RsaCtfTool.py --publickey ./key.pub --private

得到私钥

通过cookie得到HMACK key和AES key

工具地址

https://github.com/WBGlIl/CS_Decrypt

因为密码库M2Crypto非常老，我们要修改代码

'''
Beacon元数据
'''
import hashlib
import M2Crypto
import base64
import hexdump

PRIVATE_KEY = """
-----BEGIN RSA PRIVATE KEY-----
{}
-----END RSA PRIVATE KEY-----
"""

encode_data = ""
base64_key = ""

pubkey = M2Crypto.RSA.load_key_string(PRIVATE_KEY.format(base64_key).encode())
ciphertext = pubkey.private_decrypt(base64.b64decode(encode_data), M2Crypto.RSA.pkcs1_padding)

将上面的一部分代码替换成下面的

'''
Beacon元数据
'''
import hashlib
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5
import base64
import hexdump
 
PRIVATE_KEY = """-----BEGIN RSA PRIVATE KEY-----
{}
-----END RSA PRIVATE KEY-----"""
 
encode_data = ""
base64_key = """
 
private_key = RSA.import_key(PRIVATE_KEY.format(base64_key).encode())
cipher = PKCS1_v1_5.new(private_key)
ciphertext = cipher.decrypt(base64.b64decode(encode_data), 0)

得到AES Key 和 HMAC Key

AES key:9fe14473479a283821241e2af78017e8
HMAC key:1e3d54f1b9f0e106773a59b7c379a89d

解密数据

用CS_Task_AES_Decrypt.py提取最大的包（开头349bytes的cm文件），解密出获得secret.pcapng流量包

将保存的data.bin改为1.pcapng，发现wireshark是打不开的

恢复流量包

第一种就是手动删去多余的部分

比较麻烦，直接工具修了

成功打开流量包

cs1.6流量

L3HCTF的原题

https://www.anquanke.com/post/id/261339

引用其中的C代码，并作修改


extern "C"  
{  
    int _LongSwap(int l)  
    {  
        unsigned int res = __builtin_bswap32(*(unsigned int *)&l);  
        return *(int *)&(res);  
    }  
  
    const unsigned char mungify_table[] =  
        {  
            0x7A, 0x64, 0x05, 0xF1,  
            0x1B, 0x9B, 0xA0, 0xB5,  
            0xCA, 0xED, 0x61, 0x0D,  
            0x4A, 0xDF, 0x8E, 0xC7};  
  
    const unsigned char mungify_table2[] =  
        {  
            0x05, 0x61, 0x7A, 0xED,  
            0x1B, 0xCA, 0x0D, 0x9B,  
            0x4A, 0xF1, 0x64, 0xC7,  
            0xB5, 0x8E, 0xDF, 0xA0};  
  
    unsigned char mungify_table3[] =  
        {  
            0x20, 0x07, 0x13, 0x61,  
            0x03, 0x45, 0x17, 0x72,  
            0x0A, 0x2D, 0x48, 0x0C,  
            0x4A, 0x12, 0xA9, 0xB5};  
  
    void COM_UnMunge2(unsigned char *data, int len, int seq)  
    {  
        int i;  
        int mungelen;  
        int c;  
        int *pc;  
        unsigned char *p;  
        int j;  
  
        mungelen = len & ~3;  
        mungelen /= 4;  
  
        for (i = 0; i < mungelen; i++)  
        {  
            pc = (int *)&data[i * 4];  
            c = *pc;  
            c ^= seq;  
  
            p = (unsigned char *)&c;  
            for (j = 0; j < 4; j++)  
            {  
                *p++ ^= (0xa5 | (j << j) | j | mungify_table2[(i + j) & 0x0f]);  
            }  
  
            c = _LongSwap(c);  
            c ^= ~seq;  
            *pc = c;  
        }  
    }  
}

改为1.cpp

下面需要用到msys2这个工具

也可以直接在虚拟机里编译，因为之前写逆向的题下了所以我就用mingw64直接编译了

这里注意的是windows系统中使用的是.dll文件，而不能加载.so文件

g++ -shared  -o 1.dll 1.cpp

得到.dll文件

直接解密流量包就行了

# -*- coding: UTF-8 -*-
from scapy.all import *
from ctypes import *
import struct

lib=CDLL('')
COM_UnMunge=lib.COM_UnMunge2

pcaps = rdpcap("")

f=open('res','wb')
for mpacket in pcaps.filter(lambda x:UDP in x and x[UDP].sport==27015):
    # mpacket.show()
    udp=mpacket[UDP]
    data=bytes(udp.payload)[8:]
    seq=bytes(udp.payload)[:4]
    ack=bytes(udp.payload)[4:8]
    c=create_string_buffer(data)
    COM_UnMunge(c,len(data),seq[0])
    print(mpacket.time,mpacket[IP].src,'->',mpacket[IP].dst)
    decode_bytes=bytes(c)
    if len(decode_bytes)>10:
        if struct.unpack('<L', seq)[0] & (1<<30):
            if len(decode_bytes)>10+struct.unpack('<h', decode_bytes[7:9])[0]+1:
                print('find extra data block:')
                print(decode_bytes[10+struct.unpack('<h', decode_bytes[7:9])[0]:])
            decode_bytes=decode_bytes[10:10+struct.unpack('<h', decode_bytes[7:9])[0]]
        f.write(decode_bytes)
    print(f'finally decode data:{decode_bytes}\nlength:{len(decode_bytes)}')        
f.close

DASCTF{C0UnT3R_S7R1K3_4nD_C0BaLt_57RIK3_4LL_FUN}

posted @ 2025-02-26 00:57 Alexander17 阅读(434) 评论(0) 收藏举报

刷新页面返回顶部

alexander17