溯源取证-WEB流量取证-简单

admin 2023年12月11日09:02:01评论21 views字数 861阅读2分52秒阅读模式
话不多说直接干:

获取本次的pcap数据包∶


链接:https://pan.baidu.com/s/1NJOWc8Mts3MD-xuUOXT9eA?pwd=6666
提取码:6666

题干:

开发团队在公司的一个 Web 服务器上发现了异常文件,开发团队怀疑该服务器上存在潜在的恶意活动,网络团队准备了一个包含关键网络流量的 pcap 文件,供安全团队分析,而你的任务是分析 pcap,并从中发现问题
0x01 - 了解攻击的地理来源有助于地理封锁措施和威胁情报分析。攻击者起源于哪个城市?

直接过滤http数据包,而后我们可以发现,有一条.jpg.php的文件,一眼丁真

溯源取证-WEB流量取证-简单

溯源取证-WEB流量取证-简单

0x02 - 了解攻击者的user-agent有助于创建可靠的过滤规则。攻击者的user-agent是什么?

我们对上传动作进行数据流追踪

溯源取证-WEB流量取证-简单

溯源取证-WEB流量取证-简单

溯源取证-WEB流量取证-简单

可以看到确定是webshell无疑,那么直接拿ua就行

Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0

0x03 - 我们需要确定是否存在潜在的漏洞被利用。上传的恶意 Web Shell 叫什么名字?

上一张图其实上传失败了,因为攻击者最先上传的是imgae.php ,所以我们返回上一层,翻到下一个数据包进行数据流追踪

溯源取证-WEB流量取证-简单

0x04 - 了解上传文件的存储目录对于加强对未经授权访问的防御非常重要。网站使用哪个目录来存储上传的文件?

溯源取证-WEB流量取证-简单

这个题目其实个人理解就是,攻击者访问的webshell的路径是什么
/reviews/uploads/

0x05 - 识别 Web Shell 使用的端口有助于改进防火墙配置,以阻止未经授权的出站流量。恶意 Web Shell 使用了什么端口用来通信?

溯源取证-WEB流量取证-简单

很显然,是8080

0x06 - 了解泄露数据的价值有助于确定事件响应操作的优先级。攻击者试图泄露什么文件?

在上传了webshell后,攻击者利用webshell进行了通信活动,在翻找的过程发现了敏感的数据包

溯源取证-WEB流量取证-简单

溯源取证-WEB流量取证-简单

总结:今天的题目还是比较入门级别的,相信大家都可以快速完成

原文始发于微信公众号(我不懂安全):溯源取证-WEB流量取证-简单

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月11日09:02:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   溯源取证-WEB流量取证-简单https://cn-sec.com/archives/2286221.html

发表评论

匿名网友 填写信息