【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

admin 2024年6月6日21:22:24评论9 views字数 931阅读3分6秒阅读模式
【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

点击上方蓝字·关注我们

【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

01

1.木马的连接密码是多少

这个包比较简单,筛选HTTP协议发现就几条,一般我们做这种可以导出HTTP流或者使用过滤规则

http contains "200"

查看HTTP数据流,这里可以看到连接的密码为1

【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

FLAG:1

02

2.黑客执行的第一个命令是什么

因为这个是蚁剑的流量包 他是Base64加密的,但是会混淆函数会生成两个随机的然后在编码,所以我们解码的时候去掉前两位即可 这里示范一下

【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析
AkY2QgIi92YXIvd3d3L2h0bWwiO2lkO2VjaG8gZTEyNGJjO3B3ZDtlY2hvIDQzNTIz  #去掉前两位Y2QgIi92YXIvd3d3L2h0bWwiO2lkO2VjaG8gZTEyNGJjO3B3ZDtlY2hvIDQzNTIz #Base64解码
【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析
【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

FLAG:id

03


3.
黑客读取了哪个文件的内容,提交文件绝对路径

继续往下解密即可 发现读取了 /etc/passwd/ 返回包也可以推出来命令。

【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

FLAG:/etc/passwd

04

4.黑客上传了什么文件到服务器,提交文件名

继续分析呗 解码就行 一条一条看后面发现传了个flag.txt文件

【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

FLAG:flag.txt

05

5.黑客上传的文件内容是什么

查看http流数据包 url解码 得到两串一串Base64 一串ASICC hex 因为蚁剑上传的文件会对内容进行16进制加密所以解码就行

【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

flag{write_flag}

06


6.黑客下载了哪个文件,提交文件绝对路径

最后一个包解码 发现绝对路径提交即可!

【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

FLAG:{/var/www/html/config.php}

总结:

蚁剑流量包 会有Url编码和Base64编码和16进制加密 这个数据包比较简单 我们通过这个数据包可以学到 这种数据包的加密方式 提取我们想要的文件内容和flag,对入门学WebShell的小白来说比较友好,最后感谢大家观看!期待我们下次相遇。

【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析
欢迎关注鱼影安全安全社区,专注CTF,职业技能大赛中高职技能培训,金砖企业赛,世界技能大赛省选拔赛,企业赛,行业赛,电子取证和CTF系列培训。
鱼影安全团队招人啦~  有感兴趣的师傅可以私信我,一起赚钱啦!
【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

关注我们

原文始发于微信公众号(鱼影安全):【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月6日21:22:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析http://cn-sec.com/archives/2823219.html

发表评论

匿名网友 填写信息