[陇剑杯 2021]签到
此时正在进行的可能是__________协议的网络攻击。(如有字母请全部使用小写,填写样例:http、dns、ftp)。得到的flag请使用NSSCTF{}格式提交。
过滤协议
例子:tcp,udp,arp,icmp,http,smtp,ftp,dns,msnms,ip,ssl,oicq,bootp等等
排除arp包,如!arp 或者 not arp
既然问协议,先看协议分级,从统计点协议分级
可以看到HTTP协议占到了大部分
http,只看该协议
可以看到几乎所有都是返回403状态码,表示访问错误,那么就是该网络协议的攻击
NSSCTF{http}
[陇剑杯 2021]webshell(问1)
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客登录系统使用的密码是_____________。。得到的flag请使用NSSCTF{}格式提交。
http模式过滤
例子:
http.request.method == “GET”
http.request.method == “POST”
http.request.uri == “/img/logo-edu.gif”
http contains “GET”
http contains “HTTP/1.”
// GET包
http.request.method == “GET” && http contains “Host: “
http.request.method == “GET” && http contains “User-Agent: “
// POST包
http.request.method == “POST” && http contains “Host: “
http.request.method == “POST” && http contains “User-Agent: “
// 响应包
http contains “HTTP/1.1 200 OK” && http contains “Content-Type: “
http contains “HTTP/1.0 200 OK” && http contains “Content-Type: “
一定包含如下
Content-Type:
根据常见的登录关键词过滤http contains login
、http contains user
或者先过滤POST,再查找
username=test&password=Admin123!%40%23&expire=0HTTP/1.1 200 OK
NSSCTF{Admin123!@#}
[陇剑杯 2021]webshell(问2)
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客修改了一个日志文件,文件的绝对路径为_____________。(请确认绝对路径后再提交)。得到的flag请使用NSSCTF{}格式提交。
重点修改了日志文件
过滤POST协议后直接查找后缀名
注意还要文件绝对路径,/var/www/html/
/var/www/html/data/Runtime/Logs/Home/21_08_07.log
[陇剑杯 2021]webshell(问3)
题目描述
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客获取webshell之后,权限是______?得到的flag请使用NSSCTF{}格式提交。
权限一般会有whoami这条命令,注意到上一题就有该命令
可以看到www-data
[陇剑杯 2021]webshell(问4)
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客写入的webshell文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt)。得到的flag请使用NSSCTF{}格式提交。
在导出对象看到很多1.php文件
大概率上传的是一句话木马
这是一条恶意命令,旨在创建一个Webshell。该命令使用PHP的eval函数来执行用户输入的代码,从而可能导致服务器被黑客攻击。
具体来说,这条命令使用PHP的eval函数来执行用户输入的代码,并将其写入到/var/www/html/1.php文件中。这样黑客可以通过访问该文件来执行恶意代码,从而控制服务器。
所以文件名是1.php
[陇剑杯 2021]webshell(问5)
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客上传的代理工具客户端名字是_____________。(如有字母请全部使用小写)。得到的flag请使用NSSCTF{}格式提交。
由于前面的webshell的参数是aaa,文件是1.php
所以可以查找aaa或1.php
通过对比发现345追踪后多着frpc.ini文件,可能就是代理工具客户端的名字
NSSCTF{frpc}
[陇剑杯 2021]webshell(问6)
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客代理工具的回连服务端IP是_____________。得到的flag请使用NSSCTF{}格式提交。
继续使用 http contains "1.php" 命令进行分析
尝试解码
ASCLL16进制
192.168.239.123
[陇剑杯 2021]webshell(问7)
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客的socks5的连接账号、密码是______。(中间使用#号隔开,例如admin#passwd)。得到的flag请使用NSSCTF{}格式提交。
在上一题解码就有相关信息
NSSCTF{0HDFt16cLQJ#JTN276Gp}
总结:总的做完之后就是,这名黑客通过frpc.ini挂上了代理,然后通过上传1.php文件,上传木马,获取网站的权限。
本站资源均来自互联网,仅供研究学习,禁止违法使用和商用,产生法律纠纷本站概不负责!如果侵犯了您的权益请与我们联系!
转载请注明出处: 免费源码网-免费的源码资源网站 » 流量分析0.o
发表评论 取消回复