- 题目
- 流量分析
题目
1.黑客的 IP 地址是什么?
2.黑客通过漏洞上传连接服务器的文件名字是什么?
3.黑客上传的 Webshell 用的什么工具连接?[小写英文]
4.黑客利用什么漏洞来进行攻击?A.SQL注入 B.文件上传 C.XXE D.反序列化漏洞
5.黑客连接 Webshell 的连接密码是什么?[明文]
6.黑客连接 Webshell 后执行的第一条系统命令是什么?
7.黑客通过 Webshell 上传的文件内容是什么?[2005????]
8.黑客创建系统的用户名字叫什么?
流量分析
查找黑客IP,一般直接统计对话就能判断出来了,就算判断不出来也能定位2-3个可疑IP。
对字节降序处理,发现192.168.11.39的流量最大,最可能是黑客IP。
过滤一下这个IP和HTTP协议,大致看一下,发现上传了东西,可以判定这个IP就是黑客IP。
第1题答案:192.168.11.39
继续过滤一下包含“upload”的流量,发现上传了jpg格式的图片。
追踪HTTP流,发现上传的是图片马,文件名为san.php,连接密码是shell,利用了文件上传漏洞。
连接服务器的文件名可能是san.php,但是往下看流量会发现实际访问的地址是/uploads/1768728211_696ca6939300d_san.php
服务器对文件重命名了,所以最终连接服务器的文件名是1768728211_696ca6939300d_san.php
接下来分析webshell连接工具,蚁剑、冰蝎这些都有自己典型特征。
可以发现接下来连接成功后的流量都有一个默认参数名
而且还有base64编码解码操作,这是蚁剑(antsword)的特征。
第一个执行的系统命令一般就是连接成功后的第一个流量,接下来按照时间顺序追踪连接成功的第一个流量,解密响应包
发现响应信息包含当前用户名、目录及系统信息,说明执行了whoami命令。
按时间继续分析第二条流量,追踪HTTP流发现了504B0304,这是zip的魔数。导出zip压缩包,或者使用脚本将16进制数据导成zip。
脚本代码如下:
点击查看代码
import binasciidef hex_to_zip(hex_data, output_filename="output.zip"):try:# 1. 将十六进制字符串转换为二进制数据binary_data = binascii.unhexlify(hex_data)# 2. 将二进制数据写入ZIP文件with open(output_filename, "wb") as f:f.write(binary_data)print(f"压缩包已成功导出:{output_filename}")print(f"文件大小:{len(binary_data)} 字节")except binascii.Error as e:print(f"十六进制数据格式错误:{e}")except IOError as e:print(f"文件写入失败:{e}")except Exception as e:print(f"未知错误:{e}")if __name__ == "__main__":# 替换为你提取的ZIP十六进制数据zip_hex_data = ""# 调用函数生成ZIP文件hex_to_zip(zip_hex_data)
解压后得到里面的内容:flag{443302daf6e587bc1d358dbf7a91e9b5}
这是一个Windows系统,创建用户的时候一般会使用net user或net localgroup命令来完成。
把net localgroup编码一下搜索
bmV0IGxvY2FsZ3JvdXA
找到了两个可疑的流量,追踪分析
如果之前做过这种题就会发现Y2Q是cd命令的base64编码,将Y2Q开头到MQ结尾的部分base64解码。
解码发现把jiusan用户加到管理员群组了。
题目回顾:
1.黑客的 IP 地址是什么?
2.黑客通过漏洞上传连接服务器的文件名字是什么?
3.黑客上传的 Webshell 用的什么工具连接?[小写英文]
4.黑客利用什么漏洞来进行攻击?A.SQL注入 B.文件上传 C.XXE D.反序列化漏洞
5.黑客连接 Webshell 的连接密码是什么?[明文]
6.黑客连接 Webshell 后执行的第一条系统命令是什么?
7.黑客通过 Webshell 上传的文件内容是什么?[2005????]
8.黑客创建系统的用户名字叫什么?
综上分析:
192.168.11.39
1768728211_696ca6939300d_san.php
antsword
文件上传
shell
whoami
flag{443302daf6e587bc1d358dbf7a91e9b5}
jiusan