没有找到合适的图片
其实就是很久之前我在t00ls发过一个cs3.14然后是最近有一位兄弟说是在使用过程中发现有异常流量怀疑是不是有后门,本着身正不怕影子斜我还是亲自来帮他分析分析最后就有了这篇文章
他帖子的链接:cs3.14异常流量,师傅看下这是后门吗 - 技术交流讨论(Technical Discussions) - T00LS | 低调求发展 - 潜心习安全
帖子里有用的信息没有太多只有两张图片引起了我的兴趣
这两张图片乍一看确实有点像cs配置域前置的后门,不过怎么说呢在这类工具加主动类型的后门其实是非常不明智反正我要是加后门肯定是不会选择这类主动后门的因为太过明显随便抓个包都能看见
最后分析出来的结果其实也挺有意思的原来这个外联是一个机场的ip
然后拿去base64解码
解析ssr链接
最后再来说一下122.9.102.38 ip相关信息和我找到的机场信息
那么问题来了,为什么Wireshark会抓到机场的包呢,关于这个其实我估计是这位兄弟没关混杂模式,导致捕获了局域网内的所有数据包,然后本机的ssr流量正好也被也被捕获导致看起来像是有异常流量,随便演示一下效果
这篇文章早在上周就发在了t00ls澄清了一下最后结果也确实如分析的这样