[求助]exe的分析和一种代理方式的实现方法-¥付费问答-看雪-安全社区|安全招聘|kanxue.com

[已解决] [求助]exe的分析和一种代理方式的实现方法 400.00雪花

2023-11-11 14:28 2520

[已解决] [求助]exe的分析和一种代理方式的实现方法 400.00雪花

张小河

2023-11-11 14:28

2520

最近遇到一个小工具可以让的特定应用的特定域名走自己的代理通道进行通信包括https和http通信对这种实现方式非常感兴趣，能否使用python或者c#实现类似的功能的，关于https的代理信任看不懂是怎么做的好像是单独设置的自定义证书，它是通过一个GET请求去获取代理的信息并且获取的信息还是加密的

希望各位大佬可以指导一二，文件里有请求的信息

需求如下：
1，想知道这个它这个请求获取的信息的解密方法
2，能否使用python或者c#实现类似的功能

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

最后于 2023-11-17 18:38 被张小河编辑，原因：

收藏・1

点赞・0

打赏

最新回复 (20)
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 21:52 (+400.00雪花) 2 楼 0 逆向完了，这玩意应该是修改软件的组件+网劫实现的，那个里面会下载patch好的组件，自动安装ca然后内存加载了个网截dll 最后于 2023-11-11 22:19 被EX呵呵编辑，原因：
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 21:52 3 楼 0 请求是base64+aes ecb 秘钥和iv都是gameovergameover 解密以后的数据: https=121.43.59.213:11981 app-23.11.1-v0317 VIDA.Common.BusinessLayer.Software.dll\|B514EB5AD4658B9239AB9E23B343EE28 VIDA.Software.dll\|2102F5694A4F376D05C176250B5006EC VIDA.Common.SwdlSupport.dll\|052CE084FFA16E9DCC31E4C5BDE3C4B2
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 21:54 4 楼 0 里面的ca证书
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:03 5 楼 0 http://116.62.78.251:8082/api/update?code=FCC0F158EC8D986995B72C731E6E71CE 这个接口是下文件的最后于 2023-11-11 22:12 被EX呵呵编辑，原因：
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:05 6 楼 0 下载下来是软件的dll,先patch软件然后再给之前拿的那个ip走网截转过去最后于 2023-11-11 22:21 被EX呵呵编辑，原因：
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:14 7 楼 0 这玩意类似山寨网络验证，这个软件是负责下载patch好的dll和安装证书的
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:27 8 楼 0 EX呵呵下载下来是软件的dll,先patch软件然后再给之前拿的那个ip走网截转过去网截是通过hook了几个windows的api实现的 WinHttpGetIEProxyConfigForCurrentUser WSASend send
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:37 9 楼 0 EX呵呵下载下来是软件的dll,先patch软件然后再给之前拿的那个ip走网截转过去通过hook实现的，之前拿的在线配置里拿的那个就是要转向的地址，这个是在专门一个dll里处理的，这个dll在t1.exe的资源表里
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:38 10 楼 0 大概就是信任ca然后服务器那边再用这个ca签一张对应的域名的证书然后直接hook ws转向ip
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:40 11 楼 0 服务端那边配置好证书+ws2转向+patch软件就行了
张小河雪币： 20 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	张小河 2023-11-12 01:11 12 楼 0 EX呵呵逆向完了，这玩意应该是修改软件的组件+网劫实现的，那个里面会下载patch好的组件，自动安装ca然后内存加载了个网截dll 感谢分析，我基本理解这个思路了，最后还有关于转向的一些问题请教，这个证书应该是Fiddler的，有点不太理解这种代理方式，应该是和转向有关，如果是普通使用Fiddler的时候，那么是在浏览器设置代理域名和端口就行，然后通过浏览器发送的请求经过fiddler的服务，对于这个代理的域名和端口，我在浏览器信任fiddler证书+设置对应代理后，仍然是无法访问它过滤的域名的，能否在python中使用它的这个代理进行请求呢？
张小河雪币： 20 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	张小河 2023-11-12 01:12 13 楼 0 类似这种形式 import requests proxies={ 'https':'1.1.1.1:8080' } requests.get("http://v4.ip.zxinc.org/info.php?type=json",timeout=(20),headers={},proxies=proxies,verify = False) print(response.text) 最后于 2023-11-12 19:21 被张小河编辑，原因：
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-12 14:07 14 楼 0 张小河感谢分析，我基本理解这个思路了，最后还有关于转向的一些问题请教，这个证书应该是Fiddler的，有点不太理解这种代理方式，应该是和转向有关，如果是普通使用Fiddler的时候，那么是在 ... 他这只是借用了fidder的证书，并不是fidder，他这个是直接对windows api 下hook 直接给ws2里的send函数给拦截了，这个你只能找找github有没有ws2转向的项目了，这个python不好搞
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-12 14:08 15 楼 0 这玩意不吃代理所以fidder才拦不下来
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-12 14:10 16 楼 0 张小河感谢分析，我基本理解这个思路了，最后还有关于转向的一些问题请教，这个证书应该是Fiddler的，有点不太理解这种代理方式，应该是和转向有关，如果是普通使用Fiddler的时候，那么是在 ... 你可以试试全局代理来拦，全局代理应该也能拦截下来，或者用专门的驱动代理，驱动代理给连fidder上应该也行，就那种游戏加速器的socket5代理驱动给连fidder开的代理上应该也行
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-12 14:15 17 楼 0 张小河类似这种形式 import requests proxies={ 'https':'121.43.59.21 ... https://www.52pojie.cn/thread-1250451-1-1.html 用这种驱动工具给请求强制转到fidder那边应该是可以的，你这py的话用mitmproxy应该会好些
张小河雪币： 20 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	张小河 2023-11-12 15:29 18 楼 0 理解了对于hook和代理的方式应该是没问题了这个python是想要使用它的这个代理地址发送一个请求去模拟它正常工作的请求结果
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-12 17:28 19 楼 0 张小河理解了对于hook和代理的方式应该是没问题了这个python是想要使用它的这个代理地址发送一个请求去模拟它正常工作的请求结果那你就用这个工具转向到他这个代理ip啊
张小河雪币： 20 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	张小河 2023-11-12 19:21 20 楼 0 EX呵呵那你就用这个工具转向到他这个代理ip啊好的这个证书能不能发我一下
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-13 22:39 21 楼 0 张小河好的这个证书能不能发我一下这里是这个软件的证书和他里面自带的代理dll 上传的附件： RunCore.dll （261.00kb，1次下载）证书.crt （0.93kb，3次下载）
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

张小河

发帖

回帖

RANK

关注

私信

他的文章

[求助]exe的分析和一种代理方式的实现方法

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 21:52 (+400.00雪花) 2 楼 0 逆向完了，这玩意应该是修改软件的组件+网劫实现的，那个里面会下载patch好的组件，自动安装ca然后内存加载了个网截dll 最后于 2023-11-11 22:19 被EX呵呵编辑，原因：
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 21:52 3 楼 0 请求是base64+aes ecb 秘钥和iv都是gameovergameover 解密以后的数据: https=121.43.59.213:11981 app-23.11.1-v0317 VIDA.Common.BusinessLayer.Software.dll\|B514EB5AD4658B9239AB9E23B343EE28 VIDA.Software.dll\|2102F5694A4F376D05C176250B5006EC VIDA.Common.SwdlSupport.dll\|052CE084FFA16E9DCC31E4C5BDE3C4B2
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 21:54 4 楼 0 里面的ca证书
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:03 5 楼 0 http://116.62.78.251:8082/api/update?code=FCC0F158EC8D986995B72C731E6E71CE 这个接口是下文件的最后于 2023-11-11 22:12 被EX呵呵编辑，原因：
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:05 6 楼 0 下载下来是软件的dll,先patch软件然后再给之前拿的那个ip走网截转过去最后于 2023-11-11 22:21 被EX呵呵编辑，原因：
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:14 7 楼 0 这玩意类似山寨网络验证，这个软件是负责下载patch好的dll和安装证书的
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:27 8 楼 0 EX呵呵下载下来是软件的dll,先patch软件然后再给之前拿的那个ip走网截转过去网截是通过hook了几个windows的api实现的 WinHttpGetIEProxyConfigForCurrentUser WSASend send
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:37 9 楼 0 EX呵呵下载下来是软件的dll,先patch软件然后再给之前拿的那个ip走网截转过去通过hook实现的，之前拿的在线配置里拿的那个就是要转向的地址，这个是在专门一个dll里处理的，这个dll在t1.exe的资源表里
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:38 10 楼 0 大概就是信任ca然后服务器那边再用这个ca签一张对应的域名的证书然后直接hook ws转向ip
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-11 22:40 11 楼 0 服务端那边配置好证书+ws2转向+patch软件就行了
张小河雪币： 20 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	张小河 2023-11-12 01:11 12 楼 0 EX呵呵逆向完了，这玩意应该是修改软件的组件+网劫实现的，那个里面会下载patch好的组件，自动安装ca然后内存加载了个网截dll 感谢分析，我基本理解这个思路了，最后还有关于转向的一些问题请教，这个证书应该是Fiddler的，有点不太理解这种代理方式，应该是和转向有关，如果是普通使用Fiddler的时候，那么是在浏览器设置代理域名和端口就行，然后通过浏览器发送的请求经过fiddler的服务，对于这个代理的域名和端口，我在浏览器信任fiddler证书+设置对应代理后，仍然是无法访问它过滤的域名的，能否在python中使用它的这个代理进行请求呢？
张小河雪币： 20 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	张小河 2023-11-12 01:12 13 楼 0 类似这种形式 import requests proxies={ 'https':'1.1.1.1:8080' } requests.get("http://v4.ip.zxinc.org/info.php?type=json",timeout=(20),headers={},proxies=proxies,verify = False) print(response.text) 最后于 2023-11-12 19:21 被张小河编辑，原因：
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-12 14:07 14 楼 0 张小河感谢分析，我基本理解这个思路了，最后还有关于转向的一些问题请教，这个证书应该是Fiddler的，有点不太理解这种代理方式，应该是和转向有关，如果是普通使用Fiddler的时候，那么是在 ... 他这只是借用了fidder的证书，并不是fidder，他这个是直接对windows api 下hook 直接给ws2里的send函数给拦截了，这个你只能找找github有没有ws2转向的项目了，这个python不好搞
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-12 14:08 15 楼 0 这玩意不吃代理所以fidder才拦不下来
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-12 14:10 16 楼 0 张小河感谢分析，我基本理解这个思路了，最后还有关于转向的一些问题请教，这个证书应该是Fiddler的，有点不太理解这种代理方式，应该是和转向有关，如果是普通使用Fiddler的时候，那么是在 ... 你可以试试全局代理来拦，全局代理应该也能拦截下来，或者用专门的驱动代理，驱动代理给连fidder上应该也行，就那种游戏加速器的socket5代理驱动给连fidder开的代理上应该也行
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-12 14:15 17 楼 0 张小河类似这种形式 import requests proxies={ 'https':'121.43.59.21 ... https://www.52pojie.cn/thread-1250451-1-1.html 用这种驱动工具给请求强制转到fidder那边应该是可以的，你这py的话用mitmproxy应该会好些
张小河雪币： 20 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	张小河 2023-11-12 15:29 18 楼 0 理解了对于hook和代理的方式应该是没问题了这个python是想要使用它的这个代理地址发送一个请求去模拟它正常工作的请求结果
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-12 17:28 19 楼 0 张小河理解了对于hook和代理的方式应该是没问题了这个python是想要使用它的这个代理地址发送一个请求去模拟它正常工作的请求结果那你就用这个工具转向到他这个代理ip啊
张小河雪币： 20 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	张小河 2023-11-12 19:21 20 楼 0 EX呵呵那你就用这个工具转向到他这个代理ip啊好的这个证书能不能发我一下
EX呵呵雪币： 267 活跃值： (3224) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 194 粉丝 3 关注私信	EX呵呵 2023-11-13 22:39 21 楼 0 张小河好的这个证书能不能发我一下这里是这个软件的证书和他里面自带的代理dll 上传的附件： RunCore.dll （261.00kb，1次下载）证书.crt （0.93kb，3次下载）
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复