目录
对于日志分析
个人感觉就是攻击或者恶意访问后
后台数据库的记录
这个在sqli-labs中也出现过 result.txt
这就和日志分析类似
我们直接做题
在刷NSSCTF 发现陇剑杯 对于取证和流量分析日志分析的考点多
我们直接开始刷 陇剑杯 的日志分析
[陇剑杯 2021]日志分析(问1)
源代码泄露
这我们就能想到 通过 dirsearch 直接扫 然后脱库
所以我们看看有没有 zip结尾的备份文件
发现了www.zip 并且访问状态是200 说明成功访问了
[陇剑杯 2021]日志分析(问2)
很简单的提示 既然写入文件 那么就需要命令
我们看看有没有命令类型的
url解码看看
发现了有点反序列化的意思
然后就能发现了写入的文件为sess_car
[陇剑杯 2021]日志分析(问3)
从上道题的url解码也能发现
读取flag的是SplFileObject类 说明答案就是这个
[陇剑杯 2021]简单日志分析(问1)
这里一样的 我们能发现是类似 dirsearch 的扫描器
攻击参数 那我们去看看哪里是攻击 的命令
发现了 就是 user
我们直接把上一道题目的base解码看看
发现是命令执行
那我们直接搜 user看看
又发现俩大托
那我们解码看看
flag就是这个
[陇剑杯 2021]简单日志分析(问3)
我们把最后一个解码
ip 端口也都出来了
[陇剑杯 2021]SQL注入(问1)
最开始看到if 以为是时间注入
后面发现是盲注
所以flag是布尔注入
[陇剑杯 2021]SQL注入(问2)
那我们直接看最下面就知道了
flag是 sqli#flag#flag
[陇剑杯 2021]SQL注入(问3)
那我们直接去 sqli.flag的地方看看
看看规律
37,1到38,1
都是从 %C2%80开始
说明 %C2%80前就是查询成功的地方
所以我们只需要筛选出%C2%80前面的字符 组合起来就是flag了
f
l
a
g
最后的flag是
flag{deddcd67-bcfd-487e-b940-1217e668c7db}接下来就是流量分析
流量分析就是 一个流量包
通过 分析各种协议 然后提取数据
个人感觉流量分析跨度很大
简单直接搜flag即可
困难还要提取并且经过misc处理
pcap 主要通过 wireshark来提取
我们继续通过 [陇剑杯 2021]来学习
[陇剑杯 2021]webshell(问1)
挂马 然后查找登录密码
追踪流看看
感觉没有特别的发现 那我们直接看看 登录 肯定需要login页面 我们直接搜 login
找到了密码
[陇剑杯 2021]webshell(问2)
修改了日志文件
我们直接搜 .log
因为是绝对路径 所以要加上 /var/www/html 根目录开始取
[陇剑杯 2021]webshell(问3)
权限是什么
我们平常是root 但是我们刚刚在搜索绝对路径的时候 有搜到 whoami 命令 我们去看看
最后发现 在post类型中 存在一个200 相应的内容 我们看看
搜索user
出现了 www-data
[陇剑杯 2021]webshell(问4)
搜文件
那我们当时在 2问的时候 绝对路径上发现了 1.php 我们搜一下
发现了 就是 1.php
[陇剑杯 2021]webshell(问5)
代理客户端
此处知道链接密码是 aaa那我们直接过滤aaa
发现了
frpc
[陇剑杯 2021]webshell(问6)
我们既然找到了 代理客户端 那我们跟进 一下
我们看看 客户端访问的地方 还是过滤 aaa然后查看http流
反正不多 拿去一个一个解密看看
然后这里发现没有全部解密完成
那我们删除前面的
发现还是解密不出来 把 a= 删除
发现了192.168.239.123
[陇剑杯 2021]webshell(问7)
直接搜一下socks5发现没有
但是我们之前得到的frpc协议里面好像存在内容 我们回去看看
发现了 插件密码 解密看看 发现不是 那我们就直接提交 发现成功
0HDFt16cLQJ#JTN276Gp
这里就做完了 基础的日志分析和流量分析
感觉流量分析给我的感觉 就是需要筛选 还是挺难的
669
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
