玄机--哥斯拉流量

已于 2024-09-23 15:30:03 修改
阅读量350 收藏 10
点赞数 5
分类专栏: 流量分析 文章标签: 网络
于 2024-09-23 15:29:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75046593/article/details/142459403
版权

在这里插入图片描述

1、黑客的ip

在这里插入图片描述

过滤http,观察哪个ip一直在发送请求包

2、什么漏洞

因为是哥斯拉,那么黑客在连接成功之前一定上传这个木马文件到服务端

hello.jsp是木马文件,过滤http contains “hello.jsp”

最早是PUT这个方法

在这里插入图片描述

在这里插入图片描述

3、文件名

hello.jsp

保存下来

在这里插入图片描述

在这里插入图片描述

4、连接密码

如上图

7f0e6f

5、密钥

同上

xc这个变量的值就是密钥

6、第一条命令

http&&http.request.method==POST

在这里插入图片描述

一条一条翻

第一个post包发送大量杂乱数据,且http头中没有cookie字段

在这里插入图片描述

在这里插入图片描述

第二个第三个包发送少量数据

第二个包
在这里插入图片描述

第三个包
在这里插入图片描述

从第四个包这里传输了一个class文件,导出后用jadx查看

在这里插入图片描述

第五个

在这里插入图片描述

第六个
在这里插入图片描述
第七个

发现执行的命令uname -r
在这里插入图片描述

7、权限

没有工具的话一条一条翻,一条一条解密

这里使用批量解密工具

在这里插入图片描述

root

8、系统发行版本

在这里插入图片描述

9、查询过滤

黑客先执行了rpm命令,发现没有此命令,后又执行了dpkg -l

在这里插入图片描述

在这里插入图片描述

10、后门反连ip

在这里插入图片描述

解密echo的这段base

在这里插入图片描述

11、什么文件

这里看流量找不到

需要登录ssh看历史命令

在个目录下的history文件中

在这里插入图片描述

12、后门密码

最下面两个cp命令就是黑客持久化的操作

先备份了原本的文件,再将tmp中的pam_unix文件拷贝过来

参考github:https://gist.github.com/bcoles/b66c0116daa1d1d2623e0d2a2795304f
在这里插入图片描述

在这里插入图片描述

13、dnslog

在这里插入图片描述

正确的flag是域名最后还有个点

总结

黑客通过tomcat的PUT任意文件上传漏洞实现哥斯拉木马的上传,之后使用哥斯拉连接木马实现命令执行,通过执行命令实现权限的持久化

Pres1X
关注
专栏目录
玄机应急响应哥斯拉4.0-流量分析
Lucker_YYY的博客
09-24 592
ssh查看服务器history得到将/tmp/pam_unix.so复制到了/lib/x86_64-linux-gnu/security/pam_unix.so。将pam_unix.so文件下载下来ida打开分析查看函数pam_sm_authenticate 这个函数是用来控制认证的,pam后门常常放在这里。黑客留下后门的反连的IP和PORT是什么?黑客连接webshell时查询当前shell的权限是什么?黑客连接webshell后执行的第一条命令是什么?黑客通过什么漏洞进入服务器的(提交cve编号)
玄机】-----应急响应
m0_63138919的博客
05-13 4270
玄机应急响应 题解 一起学习
玄机-第一章 应急响应-webshell查杀
本散修的一些学习心得与笔记,道友请自便。
07-15 1327
玄机-第一章 应急响应-webshell查杀 简介 靶机账号密码 root xjwebshell 1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx 4.黑客免杀马完整路径 md5 flag{md5}
玄机-webshell查杀
RanQ的博客
06-30 1757
玄机-webshell查杀wp
应急响应-webshell查杀
网络安全
07-08 1042
玄机靶场地址:https://xj.edisec.net第一章 应急响应-webshell查杀1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx} 2.黑客使用的什么工具的shell github地址的md5 flag{md5} 3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xx...
【蓝队小WIKI】攻防演练中防守方重点知识点整理
lurenjia404的博客
06-24 1421
Hvv蓝队技战法:https://www.freebuf.com/defense/391301.html3个阶段,4大要点,蓝队防守全流程纲要解读:https://www.aqniu.com/vendor/84950.html。
微通道的兵锋 阿里将血腥
weixin_34323858的博客
08-24 175
阅读N传言,但基本都是泛泛而谈,至今没有发现不论什么一篇深度的,有见地的分析。泛泛而谈大概念,不敢将话说细说肯定,那都是江湖骗子玩的假把式。今天我就来将微信将会怎样威胁阿里说细说肯定,假设各位认为说得有理,还请鼓个掌。必竟写文章码字也是件苦差事。更何况这样的需http://www.yodin.com/index.php/article-view-id-281要非常长篇幅细细才干说明确的巨头...
微信兵锋所向 阿里必将血流成河
一步一脚印
07-28 2484
看了N多微信威胁阿里的传言,但基本都是泛泛而谈,至今没有发现任何一篇深度的,有见地的分析。泛泛而谈大概念,不敢将话说细说肯定,那都是江湖骗子玩的假把式。今天我就来将微信将会如何威胁阿里说细说肯定,如果各位觉得说得有理,还请鼓个掌,必竟写文章码字也是件苦差事,更何况这种需要很长篇幅细细才能说明白的巨头相争的奥妙。   为了让各位看明白微信的玄机,请容我先说一说淘宝天猫的情况,因为只有将淘宝天猫
强大的webshell管理工具-哥斯拉
12-27
标题中的“强大的webshell管理工具-哥斯拉”指的是一个名为“哥斯拉”的软件工具,它是专门设计用于管理和控制Webshell的。Webshell是一种在Web服务器上运行的后门程序,通常由黑客植入,以远程控制服务器或执行恶意...
哥斯拉4.0.1.rar
03-05
哥斯拉,好用的用后门软件
kingkong:解密哥斯拉webshell管理工具流量
04-16
解密哥斯拉Godzilla-V2.96 webshell管理工具流量 目前只支持jsp类型的webshell流量解密 Usage 获取攻击者上传到服务器的webshell样本 获取wireshark之类的流量包,一般甲方有科来之类的全流量镜像设备,联系运维人员...
kubernetes网络(一)之calico详解
鲜少伟的博客
09-22 1164
本文介绍Kubernetes最流行的网络解决方案calico。
个人计算机与网络的安全
nn_84的博客
09-24 260
关于 wifi 大家都知道 wifi 已经使用了 wpa3 非常安全 但很多人不知道 pin 和 wps 这两项有漏洞。种漏洞来控制用户电脑 老实说吧 默认用户仍然是管理员 像windows 是很容易得到最高权限的。关于 病毒 大家都知道中国 美国 俄罗斯 的黑客不断的在对抗 所以这病毒花样百出 所以系统用户。关于 国产的 linux 老实说全是漏洞 默认开启 很多服务 但初始化的设置都有漏洞。我发现很多用户都简单设置了这两项 他们的设置 使他们的网络出现了漏洞。
BGP相关知识笔记
Richardlygo的博客
09-23 1214
整个网络规模扩大,路由数量进一步增加,路由表与LSDB规模变大,路由收敛变慢,设备性能消耗加大为此在AS之间专门使用BGP协议进行路由传递,相较于传统的IGP路由协议:BGP基于TCP,只要能够建立TCP连接即可建立BGP只传递路由信息,不会暴露AS内的拓扑3。
C++ 解析 RDP 协议
道亦无名
09-22 372
远程桌面协议(Remote Desktop Protocol, RDP)是微软开发的一种网络通信协议,用于提供远程桌面会话服务。它允许用户通过网络连接至远程计算机,并像使用本地计算机一样操作远程系统。本文档将详细探讨在C++环境中如何解析RDP协议,涵盖协议层次解析、连接过程管理、数据加密解密、功能数据处理、错误与异常处理以及协议版本适配等方面。
网络安全学习路线图(2024版详解)
最新发布
baimaozi008的博客
09-27 659
近期,大家在网上对于网络安全讨论比较多,想要学习的人也不少,但是需要学习哪些内容,按照什么顺序去学习呢?其实我们已经出国多版本的路线图,一直以来效果也比较不错,本次我们针对市场需求,整理了一套系统的路线图,供大家学习参考。希望大家按照路线图进行系统学习不仅可以的完成上岸,还能够系统化学习,提升自己的后期竞争力。
网络编程】网页的显示过程
YQ20210216的博客
09-22 350
首先我们知道网页经过网络总共有应用层,传输层,网络层,数据链路层,物理层。
虚拟机开启网络代理设置,利用主机代理访问国外资源
09-24 382
有时候需要访问一些镜像网站拉取安装包或是学习资料,由于国内外网络环境差异和网络安全的问题,总会被阴拦。下文来说一下虚拟机centos7如何通过连接主机的代理软件来访问国外资源。
如何用哥斯拉判断流量类型
05-24
哥斯拉是一款网络流量分析工具,可以通过分析网络流量的特征来判断其类型。以下是一些常见的流量类型及其特征: 1. HTTP 流量:HTTP 流量通常使用 TCP 协议,源端口为 80 或 443,目的端口为任意。HTTP 流量还会包含 HTTP 请求和响应头部信息。 2. HTTPS 流量:HTTPS 流量使用 TLS 加密,源端口为 443,目的端口为任意。哥斯拉可以通过解密 TLS 流量来分析 HTTPS 流量的内容和特征。 3. DNS 流量:DNS 流量通常使用 UDP 协议,源端口和目的端口均为 53。DNS 流量还会包含域名查询请求和响应信息。 4. SMTP 流量:SMTP 流量通常使用 TCP 协议,源端口为 25,目的端口为任意。SMTP 流量还会包含邮件头和邮件正文信息。 5. FTP 流量:FTP 流量通常使用 TCP 协议,源端口为 20 或 21,目的端口为任意。FTP 流量还会包含 FTP 命令和数据传输信息。 哥斯拉可以通过上述特征来判断流量的类型,并进行相应的分析和处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值