【玄机】第六章 流量特征分析-蚁剑流量分析

前置知识

wireshark下载地址：https://wireshark.org

更改中文配置 编辑 – 首选项 – 外观 – 列
自行增加源端口和目标端口配置

将pcap文件导入wireshark，使用筛选功能筛选http数据包

对于抓到的数据包使用 右键 – 追踪流功能进行查看数据包详情

蚁剑流量特征：

特征1：

每个请求体都由以下数据开始

@ini_set(“display_errors”,“0”);@set_time_limit(0);,

特征2：

content-Length：有uelencode字段

特征3：

响应包，都是明文(也存在加密的情况)

选择靶机 – 本机查看返回结果

发现结果为一段随机字符+返回结果

题目

1.木马的连接密码是多少

2.黑客执行的第一个命令是什么

3.黑客读取了哪个文件的内容，提交文件绝对路径

4.黑客上传了什么文件到服务器，提交文件名

5.黑客上传的文件内容是什么

6.黑客下载了哪个文件，提交文件绝对路径

1.木马的连接密码是多少

筛选http数据包，查看第一个数据包的追踪流

可以看到密码是1

flag{1}

2.黑客执行的第一个命令是什么

查看第一个请求包：查看三个参数分别是是怎么生成的

将数据包追踪流中的数据进行url解码，在找php在线美化网站查看php代码数据

第一个key的值是SR，应该不是啥关键参数

查看第二三个key：ma569eedd00c3b ucc3f8650c92ac

对这两个key的value去掉前两位后，进行base64解码

所以去掉前两位，解密后的结果应该是：

ma569eedd00c3b的值：
(38)L2Jpbi9zaA==    
/bin/sh


ucc3f8650c92ac的值：
(Ak)Y2QgIi92YXIvd3d3L2h0bWwiO2lkO2VjaG8gZTEyNGJjO3B3ZDtlY2hvIDQzNTIz
cd "/var/www/html";id;echo e124bc;pwd;echo 43523

所以执行的第一个命令应该是id

从返回包执行的命令结果也能看出来：

flag{id}

3.黑客读取了哪个文件的内容，提交文件绝对路径

查看第三个http数据包

知道数数据包中的value生成逻辑就不用再看代码了，直接去掉value的前两位后进行base64解密

(mt)Y2QgIi92YXIvd3d3L2h0bWwiO2NhdCAvZXRjL3Bhc3N3ZDtlY2hvIGUxMjRiYztwd2Q7ZWNobyA0MzUyMw==
cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523

可以看到cat 查看了/etc/passwd文件

从返回包的结果中也能看出：

flag{/etc/passwd}

4.黑客上传了什么文件到服务器，提交文件名

查看第四个http数据包

(0Z)L3Zhci93d3cvaHRtbC9mbGFnLnR4dA==
/var/www/html/flag.txt

上传了flag.txt文件

flag{flag.txt}

5.黑客上传的文件内容是什么

查看第四个数据包的追踪流，url解码+美化后，查看关键代码：

可以看到接收了两个参数，ld807e7193493d 和 t41ffbc5fb0c04

t41ffbc5fb0c04参数的value为上传的文件路径

ld807e7193493d参数的value就是上传的文件内容

666C61677B77726974655F666C61677D0A

该参数为十六进制编码，进行解密发现flag

flag{write_flag}

6.黑客下载了哪个文件，提交文件绝对路径

查看第六个http数据包：查看追踪流中的代码

可见t41ffbc5fb0c04 key传入的值会被读取，也就是config.php文件会被读取，到客户端之后再进行处理，变相的实现了文件下载的效果

(2e)L3Zhci93d3cvaHRtbC9jb25maWcucGhw

/var/www/html/config.php 可见此为配置文件

flag{/var/www/html/config.php}