版权声明：本文为博主的原创文章，未经博主同意不得转载

题目：flag就是文件指向的地址

文件：

作为一名web狗的出题人，这道ctf有点意思不是在于因为它难，而是相对于一些代码审计以及一些杂项题来说，它只是很好玩。 首先，我们看到题目是一个chm文件。chm文件在钓鱼中比较常见的。 比如很久以前的那些动作片种子，下载回来总会有个chm文件的图片简介在文件目录下那些充满诱惑的FBI warning，以及当你点击xxxavi.chm的时候。

相对于pdf绑马以及之前比较新Word漏洞CVE-2017-0199。它是我所知在win下伪装的比较好的一个。可以参考 ping：CHM渗透：从入门到“入狱”

介绍

writeup普及：CHM（Compiled HelpManual）即“已编译的帮助文件”。它是微软新一代的帮助文件格式，利用HTML作源文，把帮助内容以类似数据库的形式编译储存。 CHM支持Javascript、VBscript、ActiveX、Java Applet、Flash、常见图形文件(GIF、JPEG、PNG)、音频视频文件(MID、WAV、AVI)等等，并可以通过URL与Internet联系在一起。因为使用方便，形式多样也被采用作为电子书的格式。以及下图
　 No UAC and No AV 的EXEC

根据这些知识，以及题目所问的，找出文件指向的地址即是后门连接的服务器就是flag。根据后门连接一般采用TCP或者DNS。这里根据自己pc的ip。

溯源

筛选tcp或者dns过滤大部分流量出来

ip.addr == 172.16.9.213 and tcp

以及一些标志符： SYN表示建立连接， FIN表示关闭连接， ACK表示响应， PSH表示有 DATA数据传输， RST表示连接重置。

可以发现xxx.xxx.xxx.xxx在与本机进行tcp的通信，根据两个tcp的两个标识RST ack。可以发现文件在与服务器进行通信。这里flow下这些tcp流，确定文件指向的后门服务器地址。 这里cobalt strike 的teamserver没有开启，但是可以确定在双方在“串通”进行尝试握手。

另一种方法溯源 chm是可以反编译为html的。 使用windows自带的hh.exe 则可进行反编译。hh -decompile h:\1chmF:\1.chm 【1.chm是内网渗透.chm，这里改了一下名字】

很典型的利用了chm exec 调用js，能做到免杀市面上很多杀毒软件，这里随便用了个测试截图

exploit

免杀样本 密码：2qpa

转载请注明：adislj的博客 » Python_start_win10