博客内容涉及了一次网络安全事件,其中Web服务器触发了AV警报,但无系统管理员确认登录。通过对网络捕获(PCAP)文件的分析,发现攻击者上传了webshell并建立了一个4444端口的反向shell。通过追踪TCP流,揭示了攻击者执行命令的过程,包括访问一个隐藏信息的.txt文件。该文件内容为'Heythere!',其名称是Base32加密的。解密后获取到了flag。
Intro to blueteam的第一题,打开后能看到题目的描述:
题目描述的意思是,我们的一个 Web 服务器触发了 AV 警报,但没有一个系统管理员说他们已登录。在关闭服务器以克隆磁盘之前,我们已经进行了网络捕获。你能看看PCAP,看看有什么问题吗?
点击左上方的下载,下载下来一个pcap文件。
从上到下通览一遍,能够发现以下几个特殊的地方。
我们大概能猜出来攻击者做了什么,上传了一个webshell,然后通过nc做了一个反向的shell,通过4444端口进行了连接。
4444的反向shell就是攻击者进行操作的媒介,那么我们追踪一下这个4444的tcp流看看,右击,选择追踪流,TCP流。
上图能清晰的看到执行命令的过程,最后攻击者还访问了一个.txt文件。我们去找下这个访问返回了什么。右击HTTP流,追踪一下HTTP流。
能看到这个.txt文件,就只有Hey there!。
访问的txt没内容,我们主要到这个.txt的命名很长,是base32的加密方式,我们去解密一下
成功拿到flag。
511
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
