应急靶场(9)：【玄机】流量特征分析-小王公司收到的钓鱼邮件

目录

1. 恶意程序访问了内嵌 URL 获取了 zip 压缩包，该 URL 是什么？

2. 获取到的 zip 压缩包的 MD5 是什么？

3. zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序， 该域名是什么?

靶场地址：https://xj.edisec.net/challenges/58

靶场背景：应急响应工程师小王在 WAF 上发现了一段恶意流量，请分析流量且提交对应 FLAG。

一、恶意程序访问了内嵌 URL 获取了 zip 压缩包，该 URL 是什么？

使用Wireshark打开流量包，在File -> Export Objects -> HTTP
中查看HTTP协议传输的文件。

选择Content Type
是application/octet-stream
的文件，Wireshark会自动定位到对应请求。在请求详情中，可以看到传输的文件名是TD.zip，请求的URI是http://tsdandassociates.co.sz/w0ks//?YO=1702920835。

flag{tsdandassociates.co.sz/w0ks//?YO=1702920835}

二、获取到的 zip 压缩包的 MD5 是什么？

在File -> Export Objects -> HTTP
中选择Save All
，下载所有HTTP协议传输的文件。

使用命令md5sum %3fYO=1702920835
获得zip压缩包的MD5值。

flag{f17dc5b1c30c512137e62993d1df9b2f}

三、zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序， 该域名是什么?

解压压缩包，获得两个文件：Nuj.js和y。

Javascript文件含有大量注释，使用在线JS去注释网站（https://www.sojson.com/jsjiemi.html）把注释去掉。

Javascript去掉注释后，很容易看出某个变量是URL地址。

把相关代码放到浏览器中的console里执行一下，获得变量的值：https://shakyastatuestrade.com/IhA6F/616231603。

flag{shakyastatuestrade.com}