免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。
菜刀特征
-
payload在请求体中,采用url编码+base64编码,payload部分是明文传输。
-
payload中有eval或assert、base64_decode这样的字符。
-
payload中有默认固定的&z0=QGluaV9zZXQ...这样base64加密的攻击载荷,参数z0对应$_POST[z0]接收到的数据,且固定为QGluaV9zZXQ开头。
-
进行base64解码后可看到代码:@ini_set("display_errors","0");@set_time_limit(0);@set_magic_quotes_runtime(0);这段意思是首先关闭报错和magic_quotes,接下来去获取主机的信息。
菜刀666
题目链接:
https://buuoj.cn/challenges#%E8%8F%9C%E5%88%80666
目标:
-
分析菜刀流量特征
-
找到flag
老规矩,先看请求分布,找量最大的请求:
然后用这条命令筛选出这个请求:
http.request.uri == "/upload/1.php"
看看流量,很明显是Webshell:
采用url编码+base64编码,payload部分是明文传输,并且有一个固定为QGluaV9zZXQ开头的参数,符合菜刀特征:
看几个z1参数,都是文件路径,请求不多,一个一个看有没有flag类似的文件:
没找到flag文件,找到个压缩包:
追踪一下,看到了flag文件名:
似乎是压缩包,我们导出,不懂导出的可以看我之前流量分析的文章:
压缩包需要密码,我们从流量里找线索:
导出图片,看到了密码:
成功拿到flag:
原文始发于微信公众号(赛博安全狗):【HW蓝队面试必问系列】菜刀流量分析(附流量文件下载地址)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论