靶场链接:https://xj.edisec.net/
给了附件,其它靠渗透进入
1、黑客上传的木马文件名是什么?
先启动环境,用fscan扫一下,发现是一个Tomcat的上传漏洞导致的RCE
打开流量包,拉到最下面,看到了PUT请求
追踪流,分析数据包,就是它了
2、黑客上传的木马连接密码是什么?
无需解密,直接经验判断
3、分析黑客上传的木马,找到木马通信key?
通常webshell连接时,有一个密码,还有一个密钥key
密钥就需要解码解密来看了。webshell代码逻辑,先进行base64解码,再进行unc解压缩
使用cyberchef加解密神器,发现是Java class类型,其实根据经验已经能猜到flag了
反编译该class文件,得到flag。分享一篇反编译后该代码分析文章:
4、黑客连接webshell后执行的第一条命令是什么?
找到第一个请求,根据代码逻辑,先base64解码,再使用刚才key解密即可。因为刚才的参考文章分析代码AES加密时只看到了key,因此推断为ECB加密模式。
5、这个webshell是根据什么进行回显的?(提交ip或域名)
dnslog回显,直接提交刚才命令里的域名
6、黑客留下后门的反连的IP和PORT是什么?
逐个看一下webshell执行的命令,看到最后一个找到flag
7、黑客通过后门反连执行的第一条命令是什么?
看刚才解码后的命令,可知攻击者是通过openssl连接的,搜一下流量,确实都是TLS加密,因此需要解密。
那就需要到目标服务器上拿到刚才攻击者记录的密钥日志key.log文件。打进去,用哥斯拉连接下载
wireshark加载密钥,追踪TLS流就能看到解密后的内容了,拿到flag
8、请上机排查黑客新增的后门程序会连接到哪台恶意主机?(提交主机IP|port)如(flag{127.0.0.1|1234})
netstat -anpt 发现外连的IP和PORT和程序名update(有时开的环境显示不出来,可以将附件中的update赋予权限后上传上去跑一下)
其次,附件里给了两个文件,拖到IDA,发现其中update是一个客户端连接程序,就是它了
9、黑客加密了/root目录下的一个重要文件,请你将解密后的文件内容作为flag提交
下载到本地,打开部分不可读,需要解密
推测附件中的lock文件就是解密用的,拖到IDA,看到AES相关函数,CBC模式,因此我们需要找到IV和KEY。
后续分析参考文章:
https://lexsd6.github.io/2025/02/28/%E6%9F%90%E5%8F%98%E5%BC%82Webshell%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90-%E7%8E%84%E6%9C%BA%E9%9D%B6%E5%9C%BA/#%E6%9F%90%E5%8F%98%E5%BC%82Webshell%E6%B5%81%E9%87%8F%E5%88%86%E6%9E%90-%E7%8E%84%E6%9C%BA%E9%9D%B6%E5%9C%BA
10、请你找到并修复入口漏洞后运行/root下的check_tomcat文件,将得到的flag提交
由于黑客是利用 CVE-2017-12615 实施入侵。该漏洞的利用前提是 Tomcat 已启用 HTTP PUT 请求方法,并且 readonly 初始化参数被修改为 false(而非默认值)。因此,修复该配置即可
原文始发于微信公众号(仇辉攻防):【应急响应】某变异Webshell流量分析(玄机靶场)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论