溯源取证-WEB流量分析-简单

最新推荐文章于 2024-07-11 03:29:05 发布
最新推荐文章于 2024-07-11 03:29:05 发布
阅读量764 收藏 11
点赞数 12
分类专栏: 溯源取证 文章标签: 溯源取证 应急响应 网络 tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48421613/article/details/134879811
版权

话不多说直接干:

题干:

开发团队在公司的一个 Web 服务器上发现了异常文件,开发团队怀疑该服务器上存在潜在的恶意活动,网络团队准备了一个包含关键网络流量的 pcap 文件,供安全团队分析,而你的任务是分析 pcap,并从中发现问题

了解攻击的地理来源有助于地理封锁措施和威胁情报分析。攻击者起源于哪个城市?

直接过滤http数据包,而后我们可以发现,有一条.jpg.php的文件,一眼丁真
在这里插入图片描述
在这里插入图片描述

了解攻击者的user-agent有助于创建可靠的过滤规则。攻击者的user-agent是什么?

我们对上传动作进行数据流追踪
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
可以看到确定是webshell无疑,那么直接拿ua就行
Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0

我们需要确定是否存在潜在的漏洞被利用。上传的恶意 Web Shell 叫什么名字?

上一张图其实上传失败了,因为攻击者最先上传的是imgae.php ,所以我们返回上一层,翻到下一个数据包进行数据流追踪
在这里插入图片描述

了解上传文件的存储目录对于加强对未经授权访问的防御非常重要。网站使用哪个目录来存储上传的文件?在这里插入图片描述

这个题目其实个人理解就是,攻击者访问的webshell的路径是什么
/reviews/uploads/

识别 Web Shell 使用的端口有助于改进防火墙配置,以阻止未经授权的出站流量。恶意 Web Shell 使用了什么端口用来通信?

在这里插入图片描述
很显然,是8080

了解泄露数据的价值有助于确定事件响应操作的优先级。攻击者试图泄露什么文件?

在上传了webshell后,攻击者利用webshell进行了通信活动,在翻找的过程发现了敏感的数据包

在这里插入图片描述
在这里插入图片描述

vlan911
关注
  • 12
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
45-4 护网溯源 - 溯源相关思路
weixin_43263566的博客
06-06 801
具体来说,根据刑法第二百八十五条和第二百八十六条的规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,或对计算机信息系统的功能进行删除、修改、增加、干扰,将面临三年以下有期徒刑或拘役的处罚;此外,违反国家规定,获取计算机信息系统中存储、处理或传输的数据,或非法控制计算机信息系统,也将受到相应的刑事处罚。构成犯罪的,将受到刑事处罚。对于提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具的行为,同样会受到法律的严惩。
windows、mac、linux系统常见浏览器最新的User-Agent大全
热门推荐
wardseptember的博客
05-11 1万+
最新的pc、mac、linux端各浏览器的User-Agent大全(2019.5.11) "user-agent": { "pc": [ "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.75 Safari...
模拟企业流量入侵溯源分析
蚁景网安学院
04-10 1253
本文作者:3s_NwGeek原创投稿详情:重金悬赏 | 合天原创投稿等你来!背景介绍:公司检测到异常流量,及多名员工收到钓鱼邮件,发现某邮件系统存在漏洞, 黑客通过该漏洞获取大量信息,...
wireshark数据包分析取证web流量分析
m0_74025111的博客
11-10 746
1.使用Wireshark查看并分析虚拟机windows10桌面下的web.pcap数据包,然后根据所得信息进行确定服务器上发起这些请求的源 IP 地址作为flag提交。提交格式flag{xxxxxxxxx}3.攻击者在我们的服务器上发现开放端口后,似乎试图枚举我们 Web 服务器上的目录和文件。4.在攻击者枚举 Web 服务器上的目录之后,攻击者发了大量请求,试图识别管理界面。提交格式flag{xxxxxxxxx}其实题目的意思就是去查看登录的指纹 flag{manager}
应急响应-流量分析与日志溯源实战技巧
lza20001103的博客
12-16 1652
应急响应-流量分析与日志溯源实战技巧
网络攻防--溯源取证分析实验
qq_64389397的博客
01-07 1500
splfileobject是PHP5中新加入的一个文件访问类,它继承于php标准库(SPL)中的Iterator和SeekableIterator接口,并提供了对文件的高效访问和处理。通过导http对象,查看http的流量交互对象,可以看到在后面的分组中,主要是与1.php进行流量交互,可以确定1.php就是攻击者上传的shell文件。在日志文件中查找tmp,发现一串URL编码的数据,进行解密,发现黑客通过filename参数向/tmp目录传递了一个sess_car文件。然后就可以查看https协议了。
网络攻防技术——溯源取证分析实验
学习记录
02-28 6528
一、题目 溯源取证分析作为网络攻防过程中重要环节,准确找到攻击者的入侵线索(尤其是攻击突破口、攻击IP地址、域名、工具等信息),对于企业或者团队安全运营团队来说都是必备技能。常规攻击取证过程中往往会结合流量、Web访问日志、终端系统或者软件日志等信息来挖掘或者推断相关线索。本实验通过网络流量、日志等溯源环境进行真实案例模仿,通过实战化分析来锻炼学生的取证溯源能力,从而加深大家对于网络攻防的实战化水平。在本实验结束时,学生应该能够具备对网络流量和日志的基本分析能力。 二、过程 一、Webshell数据包(we
网络取证-Tomcat-简单
weixin_48421613的博客
11-02 1084
我们的 SOC 团队在公司内部网的一台 Web 服务器上检测到可疑活动。为了更深入地了解情况,该团队捕获了网络流量进行分析。此 pcap 文件可能包含一系列恶意活动,这些活动已导致 Apache Tomcat Web 服务器遭到破坏。我们需要进一步调查这一事件。
NewStarCTF2023week4-溯源
Welcome To Myon'Blog !
10-28 766
中国菜刀、蚁剑的攻击流量特征明显,容易被各类安全设备检测,而冰蝎是一款基于Java开发的动态加密通信流量的Webshell工具,由于通信流量被加密,传统的 WAF、IDS 设备难以检测,冰蝎最大特点就是对交互流量进行对称加密(冰蝎密文采用对称加密算法AES加密,加密后还会进行 base64 编码),且加密秘钥是由随机数函数动态生成,因此该客户端的流量几乎无法检测。像下面这种格式的就是AES的密文,红色部分是请求报文,蓝色部分是响应报文。这是对同一个http协议的包追踪http流和tcp流的不同结果。
溯源取证-流量分析 中级难度的资源
05-30
【标题】:“溯源取证-流量分析 中级难度的资源”主要涵盖了网络安全领域中的高级技术,旨在帮助用户深入了解网络流量分析和电子取证。这些资源对于网络安全专业人员或对网络安全有兴趣的学者来说是极其宝贵的。 ...
中睿天下-睿眼WEB攻击溯源系统-产品白皮书.pdf
05-17
中睿天下-睿眼WEB攻击溯源系统-产品白皮书:「攻击溯源」是基于「攻击者视角」构建的新一代安全防护体系。凭借近15年攻防实 战经验,从攻击者的视角获取对抗未知威胁的洞察力,中睿天下为用户的安全团队赋能,追 踪...
85-web攻击溯源_20210506214052.pdf
03-15
85-web攻击溯源_20210506214052
农产品质量安全溯源系统-21页
06-22
农产品质量安全溯源系统-21页,精品一级
软考数据库——第五章网络基础知识(知识点介绍和历年真题)
分享关于数据的知识。
07-06 195
第五章网络基础知识
Mac虚拟机跑Windows流畅吗 Mac虚拟机连不上网络怎么解决 mac虚拟机网速慢怎么解决
2401_82916694的博客
07-10 577
选择Shared模式,你的Mac会当作虚拟机的路由器。一般来说,拥有更高性能的Cpu(如Apple M2或M3芯片)、更大的内存(建议16GB以上)、以及足够的存储空间可以显著提升虚拟机中Windows的运行流畅度。Mac的防火墙或其他安全设置可能阻止虚拟机访问网络,如果你的Mac主机可以访问网络,并且排查了上文介绍的情况,那么可以尝试关闭Mac电脑防火墙,再检查虚拟机是否可以连接网络。使用Mac虚拟机运行Windows是否流畅,取决于几个关键因素:硬件配置、虚拟机软件的选择以及虚拟机的设置。
从零开始做题:logtime
weixin_44626085的博客
07-10 204
1个pcapng文件
YOLOv10改进 | 特殊场景检测篇 | 轻量级的低照度图像增强网络IAT改进YOLOv10暗光检测(全网独家首发)
最新发布
Snu77的博客
07-11 5363
本文给大家带来的改进机制是轻量级的变换器模型:Illumination Adaptive Transformer (IAT),用于图像增强和曝光校正。其基本原理是通过分解图像信号处理器(ISP)管道到局部和全局图像组件,从而恢复在低光或过/欠曝光条件下的正常光照sRGB图像。具体来说,IAT使用注意力查询来表示和调整ISP相关参数,例如颜色校正、伽马校正。模型具有约90k参数和约0.004s的处理速度,能够在低光增强和曝光校正的基准数据集上持续实现优于最新技术(State-of-The-Art, SOTA)
Zabbix自动发现
Lzcsfg的博客
07-08 746
在 Zabbix 中,自动发现(Auto Discovery)是一种强大的功能,用于自动识别和监控网络设备、服务或应用程序中的动态变化。通过自动发现功能,Zabbix 可以自动添加、配置和监控新的网络节点或服务,大大简化了管理和监控大规模环境的复杂性。
围绕信息隐藏的应用,对新型数据泄密溯源取证进行分析及讨论。
06-10
1. 数据获取:通过网络流量分析或者磁盘取证获取涉案数据,对数据进行归类、整理和筛选。 2. 数据分析:通过数据分析技术,对获取的数据进行分析和挖掘,寻找数据泄密的痕迹和证据。 3. 数据还原:通过数据还原...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值