聊一聊CS4.1

没有找到合适的图片

最近CS4.1发了 关于那个“后门”让我们来看看

Snipaste_2020-07-30_14-00-53.png

被控上线,都说被控有外链我这里提前在测试机上抓了包

我们先看看网络连接

Snipaste_2020-07-30_14-01-08.png

可以看到有两个外链打码那个是我开的VPS

现在我们来看看提前开开的Wireshark看看他抓到了那些请求
过滤一下IP只看我们想看的

Snipaste_2020-07-30_14-02-19.png

可以看到url很明显是http包

我这里直接把链接复制下来了

http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

就是这个链接,我们先去看看域名

image.png

可以看到域名属于微软(废话猜也能猜到),那么这个url是干嘛的呢

其实微软也有说
https://support.microsoft.com/zh-cn/help/2677070/an-automatic-updater-of-untrusted-certificates-is-available-for-window
简单来说就是windows更新受信任的根证书列表(因为这个证书的根证书不在windows现有根证书列表所以要先更新一下)去验证你这个https证书是否是真的

如有错误欢迎指正