目录
-
木马的连接密码是多少 -
黑客执行的第一个命令是什么 -
黑客读取了哪个文件的内容,提交文件绝对路径 -
黑客上传了什么文件到服务器,提交文件名 -
黑客上传的文件内容是什么 -
黑客下载了哪个文件,提交文件绝对路径
靶场地址:https://xj.edisec.net/challenges/32
一、木马的连接密码是多少
Wireshark打开流量包后,搜索http查看HTTP请求,发现6个访问1.php的请求。
选中第一个HTTP请求,追踪HTTP流。
在HTTP请求体中看到明显的蚁剑webshell木马特征,连接密码是:1。
二、黑客执行的第一个命令是什么
复制HTTP请求体中蚁剑webshell木马payload的最后一个变量值:AkY2QgIi92YXIvd3d3L2h0bWwiO2lkO2VjaG8gZTEyNGJjO3B3ZDtlY2hvIDQzNTIz。
先将变量值删除前2个字符,再分别进行URL解码和Base64解码,得到蚁剑webshell木马执行的命令:cd "/var/www/html";id;echo e124bc;pwd;echo 43523。
一共5个命令:1、cd "/var/www/html"; 2、id; 3、echo e124bc; 4、pwd; 5、echo 43523 其中第1个、第3个、第4个、第5个,都是蚁剑webshell木马自带的命令,只有第2个是黑客输入的。因此答案是:flag{id}。
三、黑客读取了哪个文件的内容,提交文件绝对路径
点击Stream旁的上下箭头切换Stream,并逐个复制HTTP请求体中蚁剑webshell木马payload的最后一个变量值,先删除前2个字符,再分别进行URL解码和Base64解码。
在Stream2时,变量值是mtY2QgIi92YXIvd3d3L2h0bWwiO2NhdCAvZXRjL3Bhc3N3ZDtlY2hvIGUxMjRiYztwd2Q7ZWNobyA0MzUyMw%3D%3D,解码后是:cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523。
第2个命令是黑客输入的,cat /etc/passwd,所以黑客读取文件的绝对路径是:/etc/passwd。
四、黑客上传了什么文件到服务器,提交文件名
将6个蚁剑webshell木马的请求内容全部解码,得到:
1、cd "/var/www/html";id;echo e124bc;pwd;echo 43523
2、cd "/var/www/html";ls;echo e124bc;pwd;echo 43523
3、cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523
4、/var/www/html/flag.txt
5、/var/www/html/
6、/var/www/html/config.php
其中第2个请求和第5个请求都是打印文件清单,因此可通过对比两个文件清单的差异,来判断黑客增删的文件。
通过对比可知,第2个请求时有17个文件,第5个请求时有18个文件,多了flag.txt文件。
五、黑客上传的文件内容是什么
由此判断第4个请求是上传flag.txt文件。
将蚁剑webshell木马的payload进行URL解码。
再进行JS美化,得到2个变量。
第2个变量值,老样子,删掉前2个字符后进行Base64解码,得到上传的文件名:/var/www/html/flag.txt。
第1个变量值,直接进行Hex解码,得到上传的文件内容:flag{write_flag}。
六、黑客下载了哪个文件,提交文件绝对路径
在第四题时可知,第6个HTTP请求下载了文件:/var/www/html/config.php。
原文始发于微信公众号(OneMoreThink):应急靶场(10):【玄机】流量特征分析-蚁剑流量分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论