2025长城杯决赛应急响应木马分析

正文

请到「今天看啥」查看全文




sub_403F72 尝试获取文件的独占锁，确保只有一个实例运行




sub_403F08 创建守护进程

接下来 sub_403867 就是主要分析的后门函数了

开头就是常规的socket连接，有一个随机延迟sleep应该是为了逃避检测，这里可以得到第一问的答案了: flag{md5(101.212.78.52:36543)}

由于是在内网，所以这里可以选择挂个frp穿出来，也可以将ida的linux server传进去来远程调试，以此来拿到服务器返回的数据。

接着生成随机32个字节作为后面aes的key，解密了公钥去加密aes key，将加密后的key发送到服务器，然后接收并aes解密消息，判断是否为 connection ，是的话将 close 发送过去，最后判断返回消息是否为 getkey。

然后下发RSA的私钥，解密一段硬编码的数据，由于我这里是赛后复现的没有环境，所以没有私钥，无法解密，但是根据后面的分析猜测解密出来的应该是一个AES的key。

解密出来的key会再被加密一次，跟前面加密公钥的是同一个算法，逆序和异或。

然后把key传入 sub_4036A1 ，接下来就是跟flag相关的算法了

算法随机生成一个flag

第一次加密

然后AES加密，key就是前面传入的参数

请到「今天看啥」查看全文