rev1ve's blog
0%

ISCC2024-数据泄露

发表于 更新于 分类于 阅读次数: Valine:

ISCC2024擂台赛的一道流量分析题,和内网渗透中搭建隧道事件有关

数据泄露

题目要求

公司主机被攻击了,请根据流量文件,找到攻击者所使用的 DNS 隧道工具的原始文件名。请提交文件名的小写md5

打开文件发现存在大量DNS的数据包,筛选一下

1
dns && ip.src==192.168.157.144

image-20240503205838886

发现这些包非常大,并且对应域名过长

明显的 dnscat2 流量特征(解析域名过长,使用 CNAME、TXT、MX 记录的查询)

我们导出为纯文本文件

image-20240503210020711

将域名microsofto365.com前面部分提取出来(就提取的前面几部分)

解码脚本如下 参考文章

1
2
3
4
5
6
7
8
hex_string='1ae6012ec72fe4b1f14d6963726f736f66742057696e646f7773205b5665'
hex_string=hex_string.replace('.','')
#将字符按照每两个字符分组,转换成十六进制数
hex_parts=[hex_string[i:i+2] for i in range(0,len(hex_string),2)]

#转换成ascii字符
ascii_result=''.join(chr(int(hex,16)) for hex in hex_parts)
print(ascii_result)

运行结果如下

image-20240503210239942

注意到DNS隧道工具dnscat2,不过有乱码

直接搜索引擎确定文件名

image-20240503210351782

然后在线网站MD5加密一下,上面那个就是flag

image-20240503210412841