[陇剑杯 2021]webshell

[陇剑杯 2021]webshell      题目做法及思路解析(个人分享)

问一:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客登录系统使用的密码是_____________。

题目思路:

分析题目,黑客登录系统使用的密码,可直接查看http协议中含有登录的信息

方法:

http contains "login"查看http协议中包含login(登录)的流量包

[陇剑杯 2021]webshell_第1张图片

查看分析流量包,发现第四个流量包中存在账号密码

[陇剑杯 2021]webshell_第2张图片

flag{Admin123!@#}

问二:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客修改了一个日志文件,文件的绝对路径为_____________。

题目思路:

分析题目,黑客修改了一个日志文件,日志文件默认后缀为 .log,可直接使用过滤命令过滤 .log进行查找。

方法:

http contains ".log"查看http协议中包含.log(日志文件后缀)的流量包

[陇剑杯 2021]webshell_第3张图片

在后续大量流量包中发现了 data/Runtime/Logs/Home/21_08_07.log 日志文件

[陇剑杯 2021]webshell_第4张图片

但题目要求提交绝对路径,此时可通过已经查看分析的流量包中发现该网站系统为Linux系统,由此猜测默认目录为/var/www/html。也可以继续查看后续流量包,其中存在命令执行pwd,查看http流,可以准确的得到网站目录为/var/www/html

[陇剑杯 2021]webshell_第5张图片

flag{/var/www/html/data/Runtime/Logs/Home/21_08_07.log}

问三:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客获取webshell之后,权限是______?

题目思路:

通过之前的流量包分析已经发现,黑客执行过whoami(查看当前用户的命令),可以通过直接查看该命令的流量包查看权限

方法:

http contains "whoami"查看http协议中包含whoami(查看当前用户的命令)的流量包,查看http流得到flag

[陇剑杯 2021]webshell_第6张图片

flag{www-data}

问四:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客写入的webshell文件名是_____________。

题目思路:

在之前的分析中并没有发现黑客上传了webshell,继续对后续黑客进行命令执行的流量包进行分析,发现黑客将一串base64值解密后传入了1.php文件中,猜测该文件为webshell

方法:

接着上一题继续向下查看黑客进行命令执行的流量包,发现1.php

[陇剑杯 2021]webshell_第7张图片

将该段base64值进行解密,得到一句话木马,确认该文件为webshell

[陇剑杯 2021]webshell_第8张图片

flag{1.php}

问五:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客上传的代理工具客户端名字是_____________。

题目思路:

通过之前的分析得知,黑客利用系统漏洞进行命令执行创建了1.php的木马文件,连接密码为aaa。继续对流量包进行分析查看黑客上传的1.php文件,发现黑客通过该文件进行了很多操作,并且都进行了URL加密,可以通过工具解密进行分析。

方法:

http contains "1.php"过滤http协议中包含的1.php,右击数据包查看http流,直接查看黑客进行的操作进行分析

[陇剑杯 2021]webshell_第9张图片

通过分析发现345流量包对比341流量包回显的数据中多了一个frpc.ini文件,猜测该文件为黑客上传的代理工具

[陇剑杯 2021]webshell_第10张图片

[陇剑杯 2021]webshell_第11张图片

flag{frpc}(注意flag提交时要求的提交名称)

问六:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客代理工具的回连服务端IP是_____________。

题目思路:

通过之前的题目我们找到了黑客创建的webshell和上传的代理工具,继续分析流量包,我们之前尝试解码过黑客传输的数据,通过对URL解码后的数据进行分析发现了一串Hex值,尝试解密

方法:

继续使用 http contains "1.php" 命令进行分析

[陇剑杯 2021]webshell_第12张图片

因为412及以后得数据包内Hex过大,无法正常读取,发现343数据包内流量包内Hex值较小,先尝试对其解密,得到地址

[陇剑杯 2021]webshell_第13张图片

[陇剑杯 2021]webshell_第14张图片

flag{192.168.239.123}

问七:单位网站被黑客挂马,请您从流量中分析出webshell,进行回答: 黑客的socks5的连接账号、密码是______。(中间使用#号隔开,例如admin#passwd)。

题目思路:

同样是需要查看黑客创建webshell后传输的数据,上一题目我们查找IP地址,解码了Hex值后直接发现其中包含了socks5的账号密码

方法:

直接查看解码后的数据

[陇剑杯 2021]webshell_第15张图片

flag{0HDFt16cLQJ#JTN276Gp}

你可能感兴趣的:(#,Misc(杂项),网络安全,wireshark)