点击上方蓝字·关注我们
01
1.木马的连接密码是多少
这个包比较简单,筛选HTTP协议发现就几条,一般我们做这种可以导出HTTP流或者使用过滤规则
http contains "200"
查看HTTP数据流,这里可以看到连接的密码为1
FLAG:1
02
2.黑客执行的第一个命令是什么
因为这个是蚁剑的流量包 他是Base64加密的,但是会混淆函数会生成两个随机的然后在编码,所以我们解码的时候去掉前两位即可 这里示范一下
AkY2QgIi92YXIvd3d3L2h0bWwiO2lkO2VjaG8gZTEyNGJjO3B3ZDtlY2hvIDQzNTIz #去掉前两位
Y2QgIi92YXIvd3d3L2h0bWwiO2lkO2VjaG8gZTEyNGJjO3B3ZDtlY2hvIDQzNTIz #Base64解码
FLAG:id
03
3.黑客读取了哪个文件的内容,提交文件绝对路径
继续往下解密即可 发现读取了 /etc/passwd/ 返回包也可以推出来命令。
FLAG:/etc/passwd
04
4.黑客上传了什么文件到服务器,提交文件名
继续分析呗 解码就行 一条一条看后面发现传了个flag.txt
文件
FLAG:flag.txt
05
5.黑客上传的文件内容是什么
查看http流数据包 url解码 得到两串一串Base64 一串ASICC hex 因为蚁剑上传的文件会对内容进行16进制加密所以解码就行
flag{write_flag}
06
6.黑客下载了哪个文件,提交文件绝对路径
最后一个包解码 发现绝对路径提交即可!
FLAG:{/var/www/html/config.php}
总结:
蚁剑流量包 会有Url编码和Base64编码和16进制加密 这个数据包比较简单 我们通过这个数据包可以学到 这种数据包的加密方式 提取我们想要的文件内容和flag,对入门学WebShell的小白来说比较友好,最后感谢大家观看!期待我们下次相遇。
关注我们
原文始发于微信公众号(鱼影安全):【玄机-应急平台】第六章 流量特征分析-蚁剑流量分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论