记一次流量分析实战——2021陇剑杯(webshell)

已于 2023-04-18 16:36:26 修改
阅读量10w+ 收藏 46
点赞数 12
文章标签: 安全 网络安全 运维 网络 web安全
于 2022-08-15 15:20:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lkbzhj/article/details/126343675
版权

题目

1.分析数据包hack.pcap,黑客登录系统使用的密码是________。
2.分析数据包hack.pcap,黑客修改了一个文件日志,文件的绝对路径为________。
3.分析数据包hack.pcap,黑客获取webshell之后,权限是_________?
4.分析数据包hack.pcap,黑客写入的webshell文件名是_________。
5.分析数据包hack.pcap,黑客上传的代理工具客户端名字是__________。
6.分析数据包hack.pcap,黑客代理工具的回连服务端IP是___________。
7.分析数据包hack.pcap,黑客的socks5的连接账号、密码是___________。

文件

链接:https://pan.baidu.com/s/1if0n5gLHAMjzZjN7jz23_Q 
提取码:0czx

题目分析

1.黑客登录系统使用的密码是________。

因为是登陆系统使用直接检索(login)

http contains longin

 所以使用的密码为:Admin123!@#

2.黑客修改了一个文件日志,文件的绝对路径为________。

题目中为修改文件日志,所以直接搜索.log(一般情况下文件后缀前面都有一个.)

http contains .log

 找到日志文件,但不是绝对路径,尝试追踪http流

 所以文件的绝对路径是:/var/www/html/data/Runtime/Logs/Home/21_08_07.log

3.黑客获取webshell之后,权限是_________?

因为是寻找权限,直接搜索whoami

http contains whoami

 追踪http流之后可以看到权限default后面

所以权限是:www-date

4.黑客写入的webshell文件名是_________。

在第二题的过程中就能看到写入的文件

 所以写入的webshell文件名是:1.php

5.黑客上传的代理工具客户端名字是__________。

由上题可知webshell的连接密码是aaa,直接搜索aaa,然后追踪http流

 所以代理工具客户端名字是:frpc

6.黑客代理工具的回连服务端IP是___________。

在第五题中已经知道通过代理客户端写入文件,用shell上传,上传的时候抓的包文件内容是16进制的,我们去十六进制转字符串,在没网的环境里呢,可以用Burpsuite去转换十六进制,将图中所选的内容复制,放在Burp里面的Decoder里面,然后修改类型,修改为ASCll hex

放入burpsuit中

 所以代理工具的回连客户端IP是:192.168.239.123

7.黑客的socks5的连接账号、密码是___________。

 所以账号:0HDFt16cLQJ

        密码:JTN276GP

BTY@BTY
关注
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
陇剑杯题目附件hack.pcap
11-20
陇剑杯题目附件hack.pcap
2021陇剑杯网络安全大赛wp-webshell部分(详细题解)
偷一个月亮
09-15 6803
3.1 3.2 其中web根目录可以再system命令中看到 3.3 3.4 3.5 写frpc配置文件,推测为frpc,正确 实际上传动作为 L3Zhci93d3cvaHRtbC9mcnBj解码base64即为/var/www/html/frpc 3.6 3.5中写配置动作,hex转字符后,如下 3.7 同上 ...
CTF杂项——[陇剑杯 2021]webshell(问1~7)
最新发布
hzhfhsq的博客
10-11 1135
流量包中发现该网站系统为Linux系统,由此猜测默认目录为/var/www/html也可以继续查看后续流量包,其中存在命令执行pwd,查看http流,可以准确的得到网站目录为/var/www/html。http contains "whoami"查看http协议中包含whoami(查看当前用户的命令)的流量包。http contains ".log"查看HTTP中有.log(日志文件后缀)的流量包.http contains "login"查看HTTP中有login(登录)的流量包。
2021陇剑杯网络安全大赛-webshell
qq_43264813的博客
09-14 3713
2021陇剑杯网络安全大赛-webshell 题目描述: 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 解题思路: 3.1黑客登录系统使用的密码是__Admin123!@#。 3.2黑客修改了一个日志文件,文件的绝对路径为_/var/www/html/data/Runtime/Logs/Home/21_08_07.log。(请确认绝对路径后再提交) 3.3黑客获取webshell之后,权限是_www-data__? 3.4黑客写入的webshell文件名是___1.php___
陇剑杯2021 流量分析 题解
m0_68905584的博客
08-28 508
本人CTF小白,大学浅学过crypto、最近工作需要重新接触re、misc以及近年新增的加固、流量分析等题型,这些难题综合度高,经常做着便进入心流(flow)状态,算是非常美妙的体验,所以即使是从来不喜欢写博客文章的hopwn也决定小小录一下。观察几个数据包后发现,37字节的位置最常见的有00、01、02三种类型,00的情况下,通过右侧ASCII可以看到,有一个32位的字符串,01情况下,有一个16位的字符串,02情况下,存在16进制内容的编码,而在前方都有P05=的标志。理论形成,开始实践!
陇剑杯学习流量分析
weixin_44687621的博客
09-18 732
JWT 使用wireshark打开附件,追踪HTTP流。 分析这个JWT字段,到jwt.io下面去解出来 追踪TCP流,到第10个TCP时,我们可以发现这里实现了命令执行,输出了当前服务器的权限。 获得命令执行接口后,上传了一个c文件到tmp目录下。 上传该c文件后,使用makefile操作将这个c文件编译成恶意的so文件。 CFLAGS += -Werror -Wall looter.so: looter.c gcc $(CFLAGS) -fPIC -shared -Xlinker -x -o
流量分析——陇剑杯 2021【签到、jwt】
m0_74559567的博客
02-23 1131
其中,CFLAGS变量包含了一些编译选项,如-Werror和-Wall,分别表示将所有警告视为错误和开启所有警告。接下来的规则定义了如何从"looter.c"源文件生成"looter.so"共享库。这段代码是一个PAM模块的示例,用于在Linux系统中进行身份验证,并将用户名和密码保存到文件中。还可以解码进行验证,直接能识别到用JWT进行解码了~~~之后的流中显示的信息是没有成功攻击,继续往下分析。查看token的信息,明显的jwt认证方式。分析第16-21流,得知编译后的文件名是。
[陇剑杯 2021]
liaochonxiang的博客
05-04 1383
先认识一下发现题目GET /exec HTTP/1.1中有很明显的jwt特征点即:eyJ开头,所以认定为jwt认证。
一次流量分析实战——安恒科技(八月ctf)
热门推荐
Battery的博客
05-07 14万+
一.题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题。 二.关卡列表 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器? 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是? 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台? 某公司内网网络被黑
[陇剑杯 2021]webshell
网安日记本的博客
01-20 2590
[陇剑杯 2021]webshell 题目做法及思路解析(个人分享)
2023陇剑杯线上&线下赛数据分析
大博的博客
12-14 1571
好久没打过比赛了,对于这种偏蓝方的比赛我还是很喜欢 本文首发于:先知社区:https://xz.aliyun.com/t/13177more。
实战学习】电子数据取证专题——网络数据分析溯源(下)
mozhe_的博客
03-14 2274
网络数据分析溯源(新增用户的身份证号) 背景介绍 某公司安全工程师抓取到一段Wireshark数据包,发现有人利用WebShell操作了数据库,请找到新增的用户的身份证号。 实训目标 1、掌握“Wireshark”的基本使用方法; 2、了解数据在网络中传输的过程和协议; 靶场地址:https://www.mozhe.cn/bug/detail/146 网络数据分析溯源(发布文章...
网络攻防技术——溯源取证与分析实验
学习记录
02-28 6759
一、题目 溯源取证分析作为网络攻防过程中重要环节,准确找到攻击者的入侵线索(尤其是攻击突破口、攻击IP地址、域名、工具等信息),对于企业或者团队安全运营团队来说都是必备技能。常规攻击取证过程中往往会结合流量、Web访问日志、终端系统或者软件日志等信息来挖掘或者推断相关线索。本实验通过网络流量、日志等溯源环境进行真实案例模仿,通过实战化分析来锻炼学生的取证溯源能力,从而加深大家对于网络攻防的实战化水平。在本实验结束时,学生应该能够具备对网络流量和日志的基本分析能力。 二、过程 一、Webshell数据包(we
NSSCTF[陇剑杯 2021]webshell
J_linnb的博客
04-24 2624
或者导出HTTP对象,一个个找,在index.php%3fm=home&a=assign_resume_tpl文件中发现了含有phpinfo()页面的东西,将其后缀变更为.html用浏览器打开,然后找到答案。追踪tcp流,在流38中发现一串十六进制代码,这是蚁剑特征的数据流 ,将=号后面的内容进行base16解码,找到答案。根据上题,1.php就是黑客上传的webshell,继续往下分析1.php可以看到frpc就是代理工具客户端。搜索whoami,在317号包发现whoami,在319号响应包有结果。
[2021首届“陇剑杯网络安全大赛] webshell
ShenZ的博客
09-15 3219
题目描述 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 1.黑客登录系统使用的密码是_____________。 2.黑客修改了一个日志文件,文件的绝对路径为_____________。(请确认绝对路径后再提交) 3.黑客获取webshell之后,权限是______? 4.黑客写入的webshell文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt) 5.黑客上传的代理工具客户端名字是_____________。(如有字母请全部使用小写) 6.黑客代理工.
陇剑杯jwt流量分析
m0_57696734的博客
07-17 542
陇剑杯jwt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值