- 博客(2)
- 收藏
- 关注
RSS订阅原创 玄机应急-蚂蚁上树
在这一个(2120 235.537016749 10.0.10.88 10.0.10.99 HTTP 1209 POST /onlineshop/product2.php HTTP/1.1 (application/x-www-form-urlencoded))请求中我们看到了蚁剑的webshell,我们对其进行跟踪。通过对黑客的命令进行分析发现了一个名字为OnlineShopBackup.zip的压缩包,这里我们使用十六进制搜索504b0304,发现有压缩文件,我们进行追踪。具体来说,它会生成一个名为。
2024-04-10 10:51:38
1077
1
原创 NewStarCTF week4 misc 溯源
看到流量包我们先过滤一下,这里我们要过滤POST请求的报文所以我们用“http.request.method==POST”来过滤。根据题目和提供的代码分析我们发现攻击者用的是冰蝎3.0来进行webshell连接。可以看到冰蝎的响应流量是以json形式返回的,json的内容是base64编码的。我们从第一个报文开始看起,发现了攻击者的一句话话木马和一段被加密的字符串。我们知道冰蝎的加密方式是aes加密,很明显解密的密钥就是默认的密钥。题目要求我们找到攻击者的内网ip和攻击者获取到的服务器用户名。
2023-10-30 15:13:58
388
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人