关于 cs3.14 所谓的后门分析溯源结果
其实就是很久之前我在 t00ls 发过一个 cs3.14 然后是最近有一位兄弟说是在使用过程中发现有异常流量怀疑是不是有后门,本着身正不怕影子斜我还是亲自来帮他分析分析最后就有了这篇文章。
他帖子的链接: cs3.14 异常流量,师傅看下这是后门吗 - 技术交流讨论(Technical Discussions) - T00LS | 低调求发展 - 潜心习安全
帖子里有用的信息没有太多只有两张图片引起了我的兴趣。
这两张图片乍一看确实有点像 cs 配置域前置的后门,不过怎么说呢在这类工具加主动类型的后门其实是非常不明智反正我要是加后门肯定是不会选择这类主动后门的因为太过明显随便抓个包都能看见
最后分析出来的结果其实也挺有意思的原来这个外联是一个机场的 ip
然后拿去 base64 解码
解析 ssr 链接
最后再来说一下 122.9.102.38 ip 相关信息和我找到的机场信息
那么问题来了,为什么 Wireshark 会抓到机场的包呢,关于这个其实我估计是这位兄弟没关混杂模式,导致捕获了局域网内的所有数据包,然后本机的 ssr 流量正好也被也被捕获导致看起来像是有异常流量,随便演示一下效果
这篇文章早在上周就发在了 t00ls 澄清了一下最后结果也确实如分析的这样。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
上一篇: 聊一聊 CS 4.1
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论