[玄机-应急响应平台] 流量特征分析-蚁剑流量分析

[玄机-应急响应平台] 流量特征分析-蚁剑流量分析

1.木马的连接密码是多少
2.黑客执行的第一个命令是什么
3.黑客读取了哪个文件的内容，提交文件绝对路径
4.黑客上传了什么文件到服务器，提交文件名
5.黑客上传的文件内容是什么
6.黑客下载了哪个文件，提交文件绝对路径

1、蚁剑是POST请求来连的，过滤post请求，追踪http流，可以看到密码是1，flag{1}

2、将流量包按time排序，点击第一条流量，最后一个post传参就是执行的命令的base64编码，这里右键value显示分组字节，注意蚁剑会在编码前随机生成两位无意义的字符，所以开始位置设置成2，然后base64解码，得到flag{id}

3、依次查看各个包的命令执行情况，在第三个包找到cat命令，得到flag{/etc/passwd}

4、追踪第四条流量的http流，将post内容url解码，看到fwrite函数，以及对应的传参关系，然后将传参解码得到flag{flag.txt}

5、这里根据函数的参数关系，找到文件内容对应的编码（蚁剑上传的文件会对内容进行16进制加密），我们解码得到flag{write_flag}

6、追踪最后一条流量的http流，url解码后看到读取文件的函数，根据传参关系找到读取文件的路径，得到flag{/var/www/html/config.php}