玄机-流量特征分析蚁剑

已于 2024-10-29 16:09:21 修改
阅读量320 收藏 2
点赞数 11
分类专栏: 应急响应 文章标签: 网络安全
于 2024-10-27 22:17:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_73481504/article/details/143275955
版权

现在用的是玄机靶场从里面找了个中国蚁剑的靶机进行练习

下载附件Antsword.pcap

根据简介要求逐一找flag

一、木马的连接密码是多少

Wireshark将Antsword.pcap打开

将http进行筛选

追踪流-TCP流

能看出木马的连接密码是1

flag{1}

二、黑客执行的第一个命令是什么

流0能看出内容被url编码过,将内容进行url解码

从内容下标为2的开始截取

Base64解码

得到第一个命令是id

flag{id}

三、黑客读取了哪个文件的内容,提交文件绝对路径

往下查看按照上面的方法进行解码

查看流2

flag{/etc/passwd}

四、黑客上传了什么文件到服务器,提交文件名

查看流3

flag{/var/www/html/flag.txt}

五、黑客上传的文件内容是什么

文件内容会被16进制编码所以这里要将这段16进制进行转换为字符

flag{write_flag}

六、黑客下载了哪个文件,提交文件绝对路径

查看流5

将内容url解码,base64解码得到下载的文件

flag{/var/www/html/config.php}

玄机靶场:流量分析
hubhubb的博客
09-28 539
这里使用玄机流量分析靶场。
玄机-流量分析-流量分析
luxury的博客
10-13 435
简单的一道流量分析题,适合新手一做
玄机第六章流量分析
2301_78815619的博客
09-28 1135
继续往下看报文看不出文件内容,既然flag.txt是请求包4发送的,那我们着重分析其数据包,追踪http流。拿到数据包,过滤出http协议,序号排序,点开http协议包 1=xxx,1为密码。查看第6个请求包和响应报文,发现很像,太像了,读取config.php操作。注意:base64解码,分组2字符,前两个字符为混淆字符,解密不用带。依次查看第二个请求包命令及其响应报文,无果,继续往下查看。发现第5个响应包比第二个响应包多了flag.txt文件。点开第一个数据包,base64编码语句进行解码。
玄机-流量特征分析-流量分析
苏生要努力
05-27 1757
1.木马的连接密码是多少2.黑客执行的第一个命令是什么3.黑客读取了哪个文件的内容,提交文件绝对路径4.黑客上传了什么文件到服务器,提交文件名5.黑客上传的文件内容是什么6.黑客下载了哪个文件,提交文件绝对路径。
[玄机]流量特征分析-流量分析
网安日记本的博客
07-31 9713
流量特征分析-流量分析题目做法及思路解析(个人分享)
玄机:第六章 流量特征分析-流量分析
cjchsh的博客
02-21 742
玄机:第六章 流量特征分析-流量分析
玄机流量特征分析-小王公司收到的钓鱼邮件
2401_84302796的博客
04-27 524
expires: 0​92444881}MD5 的 111.zip 哈希:CertUtil: -hashfile 命令成功完成。
玄机靶场:特征流量分析
weixin_67729650的博客
09-28 552
本文提供分析思路,起到举一反三的功效
的相关使用以及流量分析
weixin_64446233的博客
11-04 906
主要讲述的基本使用以及相关的流量分析
玄机.第六章 流量特征分析-流量分析
bongbingchen的博客
12-09 377
发现:$s=base64_decode(substr($_POST["ucc3f8650c92ac"],2));发现出现文件路径:/var/www/html/config.php。5.文件内容:flag{write_flag}3.黑客读取了哪个文件的内容,提交文件绝对路径。3.黑客读取了哪个文件的内容,提交文件绝对路径。4.黑客上传了什么文件到服务器,提交文件名。4.文件名:flag{flag.txt}6.黑客下载了哪个文件,提交文件绝对路径。2.黑客执行的第一个命令是什么。
玄机——第六章 流量特征分析-流量分析 wp
焦虑的焦虑
06-12 4285
第六章 流量特征分析-流量分析
CTF-流量
m0_62670778的博客
04-08 2221
检查这些保存的文件,查看是否有什么有价值的东西。中的内容都是乱码的,根据题目描述知道。发现上传了一个ms.jsp的木马文件。发现是一个具有文件上传功能的页面。发现有导出对象,将数据全部保存。下载附件后发现是一个流量包。查看是否有http导出对象。
[玄机-应急响应平台] 流量特征分析-流量分析
m0_73649671的博客
04-17 1273
流量特征分析-流量分析
网络安全CTF流量分析-入门7-加密流量分析
m0_51198141的博客
11-25 3276
1.连接的正确密码2.攻击者留存的值3.攻击者下载到的Flag这道题前期来说比较简单,但是最后一文的Flag可能有点跳脱,但是整体的流量还是比较容易分析的,exe的开头是MZ这一点要注意,否则分割不出正确的文件。写的简陋,欢迎师傅们留言交流补充。
网络安全AntSword新手快速入门(附实战案例)
等风来
04-27 9516
(AntSword)是一款开源的跨平台WebShell管理工具,它主要面向于合法授权的渗透测试安全人员以及进行常规操作的网站管理员。的特点主要有如下几点:1.支持多平台。包括macOS、Linux 32位、Linux 64位、Linux armv7l、Linux arm64、Windows 32位、Windows 64位。2.完善的文档。中国文档地址。3.多项功能。文件管理功能、虚拟终端功能、数据库管理功能。4.内置代理功能。
关于AntSword)的溯源反制
Welcome To Myon'Blog !
12-30 1448
如果攻击者再次连接或者进入shell,则会报错,并且反弹一个shell给我们在1971端口上,我们可以利用该shell执行命令等,甚至溯源到对方的外网ip。如果我们发现了这个shell,我们该如何反击呢?以物理机为攻击机,虚拟机kali模拟受害者,之后使用kali进行溯源反制。最开始以为是系统问题,于是全换成Windows系统测试,依旧未成功。启用kali的Apache服务,用于模拟一个对外开放的服务。(我不清楚是否是我版本的问题还是什么问题)我这里使用的版本是2.1.15的(
浅析中国的木马加密流量
m0_68483928的博客
08-07 1938
在蓝帽杯 2022 初赛中,domainhacker 的流量分析题目聚焦于中国这款 webshell 管理工具的流量特征。通过对比赛提供的数据包进行解析,本文将深入分析在连接木马时产生的加密流量。
玄机-第六章 流量特征分析-流量分析
sucker的博客
02-27 1179
1,已知攻击者使用的webshell的工具是,那么攻击者应该预先向服务器上传了木马文件,而且一句话木马上传成功了,那么就可以定位到响应码200的流量。4,问黑客传入什么文件进入服务器,思路很简单:上传文件使用的一般是POST请求,在web服务器文件上传通常使用HTTP的POST方法。"1" : "0");2,问攻击者执行的第一个命令是什么,那么我们就需要查看服务端(已经被攻击者使用控制)执行了哪些命令,依然是过滤响应码200的。
玄机靶场iis日志分析
最新发布
03-15
### IIS 日志分析方法 IIS(Internet Information Services)作为微软的Web服务器软件,其日志文件默认存储路径为 `%SystemDrive%\inetpub\logs\LogFiles`。每条日志记录都包含了丰富的信息字段,例如客户端IP地址、请求时间、HTTP动词、URI资源、状态码等[^6]。 #### 常见的日志文件结构 IIS日志文件通常采用W3C扩展日志文件格式,每一行代表一次HTTP请求。以下是常见字段及其含义: - `date`: 请求日期。 - `time`: 请求时间。 - `s-ip`: 服务器IP地址。 - `cs-method`: HTTP动词(GET, POST等)。 - `cs-uri-stem`: URI资源路径。 - `sc-status`: HTTP响应状态码。 - `cs(User-Agent)`: 客户端浏览器标识字符串。 - `c-ip`: 客户端IP地址。 通过解析这些字段可以实现多种安全测试目标,例如识别异常行为、统计访问频率以及检测潜在攻击模式。 #### 使用工具进行日志分析 为了更高效地处理大量数据并提取有用信息,推荐以下几种常用工具和技术: 1. **Log Parser**: 这是由微软开发的一款强大的命令行工具,能够快速查询和转换各种类型的日志文件。它支持SQL-like语法,允许用户编写复杂的查询语句来筛选特定条件下的事件[^7]。 示例代码如下所示: ```sql SELECT c-ip, COUNT(*) AS Hits FROM 'W3SVC*.log' GROUP BY c-ip ORDER BY Hits DESC; ``` 2. **AWK/Sed/Grep组合脚本**: 对于熟悉Unix/Linux环境的技术人员来说,利用标准文本处理工具也可以完成基本的任务需求。比如查找某个时间段内的所有POST请求操作: ```bash grep '"POST' access.log | awk '$4 >= "[01/Aug/2023:00:00:00"' > post_requests.txt ``` 3. **ELK Stack**: ElasticSearch + Logstash + Kibana构成了现代企业级解决方案之一,在集中管理和可视化大规模分布式系统的运行状况方面表现出色。如果组织内部已经部署有此类平台,则可以直接导入原始日志源并通过仪表盘展示关键指标趋势图谱[^8]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值