1.基本流量分析
用Wireshark打开分析流量,查看到主要内容还是HTTP的报文,还是在导出查看HTTP流量处看一下大概的流量。
在337包后面的数据包这个地方,后面全是和1.php产生的流量交互,1.php这个名字,一般开发中肯定不会使用,结合题目名称是Webshell,
已经大致确定了1.php就是上传的Webshell,我们应该重点观察与它的通信,我们看下流量的具体内容
这个地方是蚁剑的攻击流量特征,后面会出一章专门用来讲解流量分析不同流量的特征,下面让我们根据题目来回答问题
2.读题
第一问
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:黑客登录系统使用的密码是_____________。
第二问
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:黑客修改了一个日志文件,文件的绝对路径为_____________。
第三问
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:黑客获取webshell之后,权限是______?
第四问
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:黑客写入的webshell文件名是_____________。
第五问
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:黑客上传的代理工具客户端名字是_____________。
第六问
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:黑客代理工具的回连服务端IP是_____________。
第七问
单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:黑客的socks5的连接账号、密码是______。
3.根据流量查找答案
我们已经确定了大致的恶意流量范围,所以重点关注和Exec的通信即可。
4.解答
4.1第一问
我们在导出Http的窗口的地方可以看到请求的URL和参数,登录的特征应该是login,那我们访问相应的请求查看
即可,当然也可以逐个翻阅流量包以免错过信息
所以答案就是 Admin123!@#
4.2第二问
挂马我们大致确定文件是1.php,那么挂马之前修改日志文件应该是和1.php通信之前的操作,所以我们要观察337之前的数据包
这里确定了修改的日志文件,但是data并不是根路径,根路径我们可以从其他流量包中知晓是
/var/www/html/data/Runtime/Logs/Home/21_08_07.log
4.3第三问
这里查找到whoami执行的数据包并没有什么结果,要再去看看别的数据包确定一下,毕竟用户权限就那几种,后面会总结一下。
这里有两种方法,第一种就是看php的通信,有一个的返回值是显示了 www-data这个权限,
但是这里不太足以确认,而数据包中有几个包多次出现上面的内容,夹杂了用户组和版本等各种信息,其中的User/Group 就可以确定权限组为www-data
4.4第四问
产生通信的1.php就是Webshell文件
4.5第五问
我们观察1.php产生的通信,这里通信都url编码看的不是特别清楚,所以可以Copy下来Url解码看。
这里在343分组的地方发现通信要比别的长一点,逐个解码也可以,发现命令中有write的写
入文件的操作,所以应该就是这个地方写入了文件,这里在发现FBL这串Base64字符的时候
有个问题,直接复制是解密不了的,要删除FB两个字符才可以,推测是由于上文中的解码
字符串是base64_decode(substr($_POST["j68071301598f"],2),从第二位开始,所以要把0,1两位删除。
最终得到结果
得到代理客户端名称是frp
4.6第六问
将写入的frp文件进行Hex解码
回连的客户端IP是192.168.239.123
4.7第七问
同上一问,将frp文件内容解码,得到账户是 0HDFt16cLQJ 密码是JTN276Gp