记一次流量分析实战——2021陇剑杯(webshell)

已于 2023-04-18 16:36:26 修改
阅读量10w+ 收藏 40
点赞数 10
文章标签: 安全 网络安全 运维 网络 web安全
于 2022-08-15 15:20:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lkbzhj/article/details/126343675
版权

题目

1.分析数据包hack.pcap,黑客登录系统使用的密码是________。
2.分析数据包hack.pcap,黑客修改了一个文件日志,文件的绝对路径为________。
3.分析数据包hack.pcap,黑客获取webshell之后,权限是_________?
4.分析数据包hack.pcap,黑客写入的webshell文件名是_________。
5.分析数据包hack.pcap,黑客上传的代理工具客户端名字是__________。
6.分析数据包hack.pcap,黑客代理工具的回连服务端IP是___________。
7.分析数据包hack.pcap,黑客的socks5的连接账号、密码是___________。

文件

链接:https://pan.baidu.com/s/1if0n5gLHAMjzZjN7jz23_Q 
提取码:0czx

题目分析

1.黑客登录系统使用的密码是________。

因为是登陆系统使用直接检索(login)

http contains longin

 所以使用的密码为:Admin123!@#

2.黑客修改了一个文件日志,文件的绝对路径为________。

题目中为修改文件日志,所以直接搜索.log(一般情况下文件后缀前面都有一个.)

http contains .log

 找到日志文件,但不是绝对路径,尝试追踪http流

 所以文件的绝对路径是:/var/www/html/data/Runtime/Logs/Home/21_08_07.log

3.黑客获取webshell之后,权限是_________?

因为是寻找权限,直接搜索whoami

http contains whoami

 追踪http流之后可以看到权限default后面

所以权限是:www-date

4.黑客写入的webshell文件名是_________。

在第二题的过程中就能看到写入的文件

 所以写入的webshell文件名是:1.php

5.黑客上传的代理工具客户端名字是__________。

由上题可知webshell的连接密码是aaa,直接搜索aaa,然后追踪http流

 所以代理工具客户端名字是:frpc

6.黑客代理工具的回连服务端IP是___________。

在第五题中已经知道通过代理客户端写入文件,用shell上传,上传的时候抓的包文件内容是16进制的,我们去十六进制转字符串,在没网的环境里呢,可以用Burpsuite去转换十六进制,将图中所选的内容复制,放在Burp里面的Decoder里面,然后修改类型,修改为ASCll hex

放入burpsuit中

 所以代理工具的回连客户端IP是:192.168.239.123

7.黑客的socks5的连接账号、密码是___________。

 所以账号:0HDFt16cLQJ

        密码:JTN276GP

BTY@BTY
关注
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
[2021首届“陇剑杯网络安全大赛] webshell
ShenZ的博客
09-15 3162
题目描述 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 1.黑客登录系统使用的密码是_____________。 2.黑客修改了一个日志文件,文件的绝对路径为_____________。(请确认绝对路径后再提交) 3.黑客获取webshell之后,权限是______? 4.黑客写入的webshell文件名是_____________。(请提交带有文件后缀的文件名,例如x.txt) 5.黑客上传的代理工具客户端名字是_____________。(如有字母请全部使用小写) 6.黑客代理工.
陇剑杯学习流量分析
weixin_44687621的博客
09-18 708
JWT 使用wireshark打开附件,追踪HTTP流。 分析这个JWT字段,到jwt.io下面去解出来 追踪TCP流,到第10个TCP时,我们可以发现这里实现了命令执行,输出了当前服务器的权限。 获得命令执行接口后,上传了一个c文件到tmp目录下。 上传该c文件后,使用makefile操作将这个c文件编译成恶意的so文件。 CFLAGS += -Werror -Wall looter.so: looter.c gcc $(CFLAGS) -fPIC -shared -Xlinker -x -o
基于[陇剑杯 2021]初学流量、日志分析
最新发布
2401_82985722的博客
08-12 861
工具准备:Wireshark。
流量分析——陇剑杯 2021【签到、jwt】
m0_74559567的博客
02-23 1100
其中,CFLAGS变量包含了一些编译选项,如-Werror和-Wall,分别表示将所有警告视为错误和开启所有警告。接下来的规则定义了如何从"looter.c"源文件生成"looter.so"共享库。这段代码是一个PAM模块的示例,用于在Linux系统中进行身份验证,并将用户名和密码保存到文件中。还可以解码进行验证,直接能识别到用JWT进行解码了~~~之后的流中显示的信息是没有成功攻击,继续往下分析。查看token的信息,明显的jwt认证方式。分析第16-21流,得知编译后的文件名是。
2021陇剑杯网络安全大赛-webshell
qq_43264813的博客
09-14 3627
2021陇剑杯网络安全大赛-webshell 题目描述: 单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 解题思路: 3.1黑客登录系统使用的密码是__Admin123!@#。 3.2黑客修改了一个日志文件,文件的绝对路径为_/var/www/html/data/Runtime/Logs/Home/21_08_07.log。(请确认绝对路径后再提交) 3.3黑客获取webshell之后,权限是_www-data__? 3.4黑客写入的webshell文件名是___1.php___
2021陇剑杯网络安全大赛wp-webshell部分(详细题解)
偷一个月亮
09-15 6732
3.1 3.2 其中web根目录可以再system命令中看到 3.3 3.4 3.5 写frpc配置文件,推测为frpc,正确 实际上传动作为 L3Zhci93d3cvaHRtbC9mcnBj解码base64即为/var/www/html/frpc 3.6 3.5中写配置动作,hex转字符后,如下 3.7 同上 ...
[陇剑杯 2021]
liaochonxiang的博客
05-04 1308
先认识一下发现题目GET /exec HTTP/1.1中有很明显的jwt特征点即:eyJ开头,所以认定为jwt认证。
一次流量分析实战——安恒科技(八月ctf)
热门推荐
Battery的博客
05-07 14万+
一.题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题。 二.关卡列表 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器? 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是? 某公司内网网络被黑客渗透,请分析流量,得到黑客使用了什么账号密码登陆了web后台? 某公司内网网络被黑
2023陇剑杯线上&线下赛数据分析
大博的博客
12-14 1509
好久没打过比赛了,对于这种偏蓝方的比赛我还是很喜欢 本文首发于:先知社区:https://xz.aliyun.com/t/13177more。
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
陇剑杯题目附件hack.pcap
11-20
陇剑杯题目附件hack.pcap
实战学习】电子数据取证专题——网络数据分析溯源(下)
mozhe_的博客
03-14 2236
网络数据分析溯源(新增用户的身份证号) 背景介绍 某公司安全工程师抓取到一段Wireshark数据包,发现有人利用WebShell操作了数据库,请找到新增的用户的身份证号。 实训目标 1、掌握“Wireshark”的基本使用方法; 2、了解数据在网络中传输的过程和协议; 靶场地址:https://www.mozhe.cn/bug/detail/146 网络数据分析溯源(发布文章...
[陇剑杯 2021]webshell
haosha。的博客
01-20 2438
[陇剑杯 2021]webshell 题目做法及思路解析(个人分享)
NSSCTF[陇剑杯 2021]webshell
J_linnb的博客
04-24 2296
或者导出HTTP对象,一个个找,在index.php%3fm=home&a=assign_resume_tpl文件中发现了含有phpinfo()页面的东西,将其后缀变更为.html用浏览器打开,然后找到答案。追踪tcp流,在流38中发现一串十六进制代码,这是蚁剑特征的数据流 ,将=号后面的内容进行base16解码,找到答案。根据上题,1.php就是黑客上传的webshell,继续往下分析1.php可以看到frpc就是代理工具客户端。搜索whoami,在317号包发现whoami,在319号响应包有结果。
陇剑杯jwt流量分析
m0_57696734的博客
07-17 511
陇剑杯jwt
2021陇剑杯部分WP
Y-Y-K的博客
09-15 5134
写在前面的话,结局排名离谱,最后两分钟直接掉了70多名,排出100以外…很久没有打比赛了,但是也没想到国内的CTF环境已经差到这种地步了,另外就是题目都挺好,个别的题目暂时这里不给出解题过程,见谅 签到 操作内容: 看请求包,http请求返回403 Jwt 操作内容: 看cookie,jwt格式 找个在线解jwt的网站,将cookie解码,注意不要解登录失败那个,解登陆成功的 看流量包。alert(“root”) wireshark打开,包序号103 109这两个包,将文件都试下 包序号109,用echo
电脑常识2021陇剑杯(真流量分析与取证杯)题目复现
11-16 291
电脑常识2021陇剑杯(真流量分析与取证杯)题目复现 根据IAB E“2021年欧洲广告报告”,2021年下半年欧洲数字广告强劲复苏,全年增长6%,达到694亿欧元。刷赞平台的相关资讯可以到我们网站了解一下,从专业角度出发为您解答相关问题,给您优质的服务!教程弟 JWT 看session很明显使用了jwt id和username需要去解jwt就可以得到 坑点:不要只看前半部分迷惑流量 没有的到权限所以说这部分流量可以忽略,往后翻 这条流量权限就变成了root,所以这个session才是
nginx.pcap
04-13
抱歉,我无法提供关于"nginx.pcap"的具体介绍或演示,因为我无法直接访问或处理特定的文件。然而,我可以为您提供一些关于.pcap文件的一般信息。 .pcap文件是一种网络数据包捕获文件格式,通常由网络分析工具(如Wireshark)生成。它录了在计算机网络上发送和接收的数据包。这些文件可以用于网络故障排除、网络性能分析、安全审计等目的。 .pcap文件可以通过使用网络分析工具来打开和查看。这些工具可以解析和显示.pcap文件中的数据包内容,包括源和目标IP地址、端口号、协议类型、数据包大小等信息。 如果您有一个特定的.pcap文件,并且想要了解如何打开和分析它,请提供更多详细信息,我将尽力帮助您解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值