关注公众号夜风Sec,持续分享各种工具和学习记录,共同进步:)
在公众号回复solar获取相关附件
题目信息
文件
题目来源:第一届solar应急响应比赛
题目文件:tomcat-wireshark.zip/web
背景 & 题目
新手运维小王的Geoserver遭到了攻击:
-
黑客疑似删除了webshell后门,小王找到了可能是攻击痕迹的文件但不一定是正确的,请帮他排查一下。
-
小王拿到了当时被入侵时的流量,其中一个IP有访问webshell的流量,已提取部分放在了两个pcapng中了。请帮他解密该流量
-
小王拿到了当时被入侵时的流量,黑客疑似通过webshell上传了文件,请看看里面是什么。
flag格式为flag{xxxxxx}
解题过程
flag1
黑客疑似删除了webshell后门,小王找到了可能是攻击痕迹的文件但不一定是正确的,请帮他排查一下。
将整个web文件夹拖进D盾进行扫描
直接就扫到了后门( b.jsp.java ),打开该后门文件,看到明显的Base64编码,该后门是通过AES加密payload的
base64解码
$ echo'ZiFsXmEqZ3tBN2I0X1g5ektfMnY4Tl93TDVxNH0=' | base64 -d f!l^a*g{A7b4_X9zK_2v8N_wL5q4} flag2
小王拿到了当时被入侵时的流量,其中一个IP有访问webshell的流量,已提取部分放在了两个pcapng中了。请帮他解密该流量
根据上面的webshell可以得到key为a2550eeab0724a69,且这是aes加密
用Wireshark打开流量文件进行分析,过滤出来http协议,看到都是访问的b.jsp
右键追踪http流,显示为原始数据(AES加密数据)
依次寻找流,尝试解密
根据左边解密的内容,攻击者通过webshell执行的命令
flag3
小王拿到了当时被入侵时的流量,黑客疑似通过webshell上传了文件,请看看里面是什么。
还是像上面一样解密数据,有一个很长的,发现是上传了一个pdf文件
很明显就是这个文件了,根据写出的bin文件,用010打开,删除不必要的部分,保存为pdf
PDF 文件头格式如下:
%PDF-1.x%PDF-是固定的标识符。
1.x 是 PDF 的版本号,比如:
-
%PDF-1.0 -
%PDF-1.4 -
%PDF-1.7 -
%PDF-2.0(较新的版本)
PDF 文件尾通常包括以下几个关键部分:
startxref123456%%EOF根据PDF文件头尾的标志进行删除
原文始发于微信公众号(夜风Sec):【应急响应】- 日志流量如何下手?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论