【应急响应】某变异Webshell流量分析(玄机靶场)

最新推荐文章于 2025-04-14 17:03:08 发布
最新推荐文章于 2025-04-14 17:03:08 发布
阅读量809 收藏 5
点赞数 14
文章标签: web安全 网络安全 安全性测试 安全威胁分析 安全 linux tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ggqiuhui/article/details/146295174
版权

玄机靶场题目

玄机 - EDISEC

给了附件,其它靠渗透进入

1、黑客上传的木马文件名是什么?

先启动环境,用fscan扫一下,发现是一个Tomcat的上传漏洞导致的RCE

打开流量包,拉到最下面,看到了PUT请求

追踪流,分析数据包,就是它了

2、黑客上传的木马连接密码是什么?

无需解密,直接经验判断

3、分析黑客上传的木马,找到木马通信key?

通常webshell连接时,有一个密码,还有一个密钥key

密钥就需要解码解密来看了。webshell代码逻辑,先进行base64解码,再进行unc解压缩

使用cyberchef加解密神器,发现是Java class类型,其实根据经验已经能猜到flag了

反编译该class文件,得到flag。分享一篇反编译后该代码分析文章:

记一次对某变异webshell的分析

4、黑客连接webshell后执行的第一条命令是什么?

找到第一个请求,根据代码逻辑,先base64解码,再使用刚才key解密即可。因为刚才的参考文章分析代码AES加密时只看到了key,因此推断为ECB加密模式。

5、这个webshell是根据什么进行回显的?(提交ip或域名)

dnslog回显,直接提交刚才命令里的域名

6、黑客留下后门的反连的IP和PORT是什么? 

逐个看一下webshell执行的命令,看到最后一个找到flag

7、黑客通过后门反连执行的第一条命令是什么? 

看刚才解码后的命令,可知攻击者是通过openssl连接的,搜一下流量,确实都是TLS加密,因此需要解密。

那就需要到目标服务器上拿到刚才攻击者记录的密钥日志key.log文件。打进去,用哥斯拉连接下载

wireshark加载密钥,追踪TLS流就能看到解密后的内容了,拿到flag

8、请上机排查黑客新增的后门程序会连接到哪台恶意主机?(提交主机IP|port)如(flag{127.0.0.1|1234}) 

netstat -anpt 发现外连的IP和PORT和程序名update(有时开的环境显示不出来,可以将附件中的update赋予权限后上传上去跑一下)

其次,附件里给了两个文件,拖到IDA,发现其中update是一个客户端连接程序,就是它了

9、黑客加密了/root目录下的一个重要文件,请你将解密后的文件内容作为flag提交

下载到本地,打开部分不可读,需要解密

推测附件中的lock文件就是解密用的,拖到IDA,看到AES相关函数,CBC模式,因此我们需要找到IV和KEY。

后续分析参考文章:某变异Webshell流量分析-玄机靶场 | lexsd6's home 

 

10、请你找到并修复入口漏洞后运行/root下的check_tomcat文件,将得到的flag提交

由于黑客是利用 CVE-2017-12615 实施入侵。该漏洞的利用前提是 Tomcat 已启用 HTTP PUT 请求方法,并且 readonly 初始化参数被修改为 false(而非默认值)。因此,修复该配置即可

 

仇辉攻防
关注
玄机靶场:蚁剑流量分析
hubhubb的博客
09-28 564
这里使用玄机蚁剑流量分析靶场。
玄机-第一章 应急响应-webshell查杀
lin__ying的博客
07-27 695
session_start():用于创建或重启一个会话,这是 PHP 木马中常见的功能,用于存储攻击载荷或状态信息。eval()、assert():这些函数用于执行字符串作为 PHP 代码,是 PHP 木马中常见的执行恶意代码的方式。黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx。黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}cat gz.php #查看gz.php文件。
webshell流量分析
qq_61740845的博客
11-28 1309
冰蝎内置了17种ua头,每次连接shell都会随机一个进行使用,如果发现历史流量中同一个IP访问URL的时候,命令了以下列表中的多个ua头,可以基本确定为冰蝎。(img-1eSYCSDC-1732796753166)]\TP\image-20241128195740195.png)2)服务器使用随机数 MD5 的高16位作为密钥,存储到会话的 $_SESSION 变量中,并返回密钥给攻击者。1)客户端把待执行命令作为输入,利用 AES 算法或 XOR 运算进行加密,并发送至服务端;
网络安全必看流量分析经典解析----10道CTF题我是怎么完成的
最新发布
qq_41314882的博客
04-14 1075
某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题。这明显就有问题,如果说一个正常的网站,images下放的是图片,但这里放了一个a.php很让人怀疑是一句话木马,而且啊,在老师的教学中,为了方便起文件直接a.php或者b.php等,所以怀疑这里大概率是有问题了,我们对其中一个进行tcp追踪。
Web安全流量分析(墨者靶场)
weixin_44431280的博客
03-14 2867
Web安全流量分析(墨者靶场) 提要:本文主要记录墨者靶场中流量分析(电子取证)的思路过程,注重学习思路过程并非问题答案。 问题说明: 分析数据包找出上传Webshell的IP地址,数据包可在下载 分析思路: 使用Wireshark打开数据包,wireshark使用可参考文章Web安全工具—WireShark使用 方法一: 1,因为题目已说明是webshell上传,同时文件上传通常使用post请求方法,所以我们只需要分析http协议流量,过滤请求方法为post的http流量: 过滤表达式:http.re
玄机靶场介绍
2401_87519262的博客
01-15 2009
玄机靶场即玄机应急响应靶场平台,是一个专业的网络安全实验平台。
纵横网络靶场-简单流量分析-ICMP协议分析
m0_68113265的博客
10-16 669
不久前,运维人员在日常安全检查的时候发现现场某设备会不时向某不知名ip发出非正常的ICMP PING包。这引起了运维人员的注意,他在过滤出ICMP包分析并马上开始做应急处理很可能已被攻击的设备。某厂区遭到黑客恶意扫描,此为安全设备截取的一部分流量包,请尝试分析该流量文件,帮助安全人员找到黑客的行为轨迹,并找到隐藏的FLAG,flag形式为 flag{}data内容为base编码,尝试解码之后为乱码。先tshark提取请求的ip地址的data内容(同个请求和应答都是相同内容)再输入字段形式。
[ 应急响应工具箱 ] Webshell查杀.rar
02-11
[ 应急响应工具箱 ] webshell查杀工具 包含如下文件 Sangfor_Webshell查杀工具 火绒剑独立版 v2021.06.01 d_safe_2.1.7.2_0107 sysdiag-full-5.0.73.1-2023.02.06.1 火绒剑独立版 v2021.06.01
玄机靶场 第一章 应急响应- Linux入侵排查
qq_46343633的博客
06-04 1614
1.web目录存在木马,请找到木马的密码提交2.服务器疑似存在不死马,请找到不死马的密码提交3.不死马是通过哪个文件生成的,请提交文件名4.黑客留下了木马文件,请找出黑客的服务器ip提交5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交。
玄机应急响应哥斯拉4.0-流量分析
Lucker_YYY的博客
09-24 954
ssh查看服务器history得到将/tmp/pam_unix.so复制到了/lib/x86_64-linux-gnu/security/pam_unix.so。将pam_unix.so文件下载下来ida打开分析查看函数pam_sm_authenticate 这个函数是用来控制认证的,pam后门常常放在这里。黑客留下后门的反连的IP和PORT是什么?黑客连接webshell时查询当前shell的权限是什么?黑客连接webshell后执行的第一条命令是什么?黑客通过什么漏洞进入服务器的(提交cve编号)
玄机靶第一章 应急响应-Linux日志分析
qq_46343633的博客
06-04 1896
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用",“分割2.ssh爆破成功登陆的IP是多少,如果有多个使用”,“分割3.爆破用户名字典是什么?如果有多个使用”,"分割4.登陆成功的IP共爆破了多少次5.黑客登陆主机后新建了一个后门用户,用户名是多少这次靶场是用来确定攻击者的相关信息,以便于后期的溯源和编写应急响应报告。
linux实战-黑链——玄机靶场
weixin_47472573的博客
11-24 1170
web站点被挂黑链后的处理方法
玄机靶场:蚁剑特征流量分析
weixin_67729650的博客
09-28 556
本文提供蚁剑分析思路,起到举一反三的功效
在线靶场-墨者-电子数据取证1星-电子数据取证-流量分析(第1题)
weixin_42079912的博客
07-19 495
打开靶场网页,下载文件,下载后的文件解压,使用wireshark打开。由于题目是说使用照片传输机密数据,所以照片传输是http协议,于是过滤http协议出来。在http协议中找到一个JPGE JFIF image这条线索。 点击这条数据,右键选择Follow进行追踪。然后就能得到flag{}里的值,把值输入靶场网站即可得到本题的key。 ...
redis日志分析——玄机靶场
weixin_47472573的博客
11-18 401
redis日志分析
玄机靶场——应急响应-vulntarget-K-02
ZhouShaoy的博客
03-22 608
问题二:黑客通过漏洞获取权限后获得的redis密码是多少,讲黑客通过漏洞获取权限后获得的redis密码作为 FLAG 提交 (请记录 REDIS 密码在 vulntarget03 环境中可以使用)黑客通过漏洞获取权限后获得的redis密码是多少,讲黑客通过漏洞获取权限后获得的redis密码作为 FLAG 提交 (请记录 REDIS 密码在 vulntarget03 环境中可以使用)问题一:通过漏洞获取权限,执行uname -a 的结果 flag{Dxxxxxxxxx GNU/Linux}
玄机靶场初体验
weixin_44770698的博客
09-14 1013
玄机靶场初体验
应急靶场(9):【玄机】流量特征分析-小王公司收到的钓鱼邮件
OneMoreThink
07-23 571
目录恶意程序访问了内嵌 URL 获取了 zip 压缩包,该 URL 是什么?获取到的 zip 压缩包的 MD5 是什么?zip 压缩包通过加载其中的 javascript 文件到另一个域名下载后续恶意程序, 该域名是什么?靶场地址:https://xj.edisec.net/challenges/58靶场背景:应急响应工程师小王在 WAF 上发现了一段恶意流量,请分析流量且提交对应 FLAG。一、...
【甄选靶场】Vulnhub百个项目渗透——项目七:DerpNStink-1(sql注入,流量分析
人间体佐菲的博客
08-23 2427
【专为新人甄选】Vulnhub百个项目渗透——项目七:DerpNStink-1
libcsearcher安装
07-27
要安装LibcSearcher,您可以按照以下步骤进行操作: 1. 首先,您需要手动安装LibcSearcher。您可以使用以下命令将其克隆到您的本地目录: ``` sudo git clone https://github.com/lexsd6/LibcSearcher_plus.git ``` 2. 进入LibcSearcher_plus目录: ``` cd ./LibcSearcher_plus ``` 3. 授予setup.py文件执行权限: ``` sudo chmod 777 ./setup.py ``` 4. 如果您已经安装了libc-database,可以将其复制到LibcSearcher_plus目录下。如果没有安装,请执行以下命令克隆libc-database: ``` sudo git clone https://github.com/niklasb/libc-database.git ``` 5. 安装ruby环境(如果您已经安装了ruby环境,可以跳过此步骤): ``` sudo apt-get install ruby2.6 ruby2.6-dev ``` 6. 安装one_gadget工具: ``` sudo gem install one_gadget ``` 7. 执行setup.py文件进行安装: ``` sudo ./setup.py develop ``` 8. 如果您已经安装了libc-database,可以跳过此步骤。否则,进入libc-database目录并获取适用于Ubuntu和Debian系统的libc数据库: ``` cd ./libc-database sudo ./get ubuntu debian ``` 这样,您就成功安装了LibcSearcher。请注意,这是一个针对CTF比赛开发的小工具,用于在泄露了Libc中的某个函数地址后,根据地址的最后12位与常见的Libc.so进行对比。\[1\]\[2\] #### 引用[.reference_title] - *1* [LibcSearcher安装的心路历程和坑____Python2,setuptools,libcsearcher其他版本](https://blog.youkuaiyun.com/OrientalGlass/article/details/128541226)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[二进制学习笔记]LibcSearcher安装](https://blog.youkuaiyun.com/hide_in_darkness/article/details/126224698)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值