拿到题目,发现是一个bin文件
首先用binwalk来提取文件
120200.squashfs这是一个linux的压缩文件
我们需要firmware-mod-kit工具来进行解压。
firmware-mod-kit工具:传送门
我们把文件放在firmware-mod-kit目录下进行解压
解压出来的文件:
题目要求分析出后门程序所使用的远程服务器和端口。
tmp文件夹中有我们想要的后门程序:
拿到文件后,放进ida
有壳,我们去脱壳。
再次拖进ida,我们要寻找的是远程服务器和端口。
首先查看字符串,
接下来只缺端口了,我们找到这个函数。
端口即36667
我们可以得到 echo.byethost51.com:36667,然后在进行md5加密即可。