将pcap文件导入wireshark,使用筛选功能筛选http数据包
对于抓到的数据包使用 右键 – 追踪流功能进行查看数据包详情
蚁剑流量特征:
特征1:
每个请求体都由以下数据开始
@ini_set(“display_errors”,“0”);@set_time_limit(0);,
特征2:
content-Length:有uelencode字段
特征3:
响应包,都是明文(也存在加密的情况)
选择靶机 – 本机查看返回结果
发现结果为一段随机字符+返回结果
1.木马的连接密码是多少
筛选http数据包,查看第一个数据包的追踪流
可以看到密码是 1
flag{1}2.黑客执行的第一个命令是什么
查看第一个请求包:查看三个参数分别是是怎么生成的
将数据包追踪流中的数据进行url解码,在php在线格式化网站查看php代码数据
php 格式化
第一个key的值是SR,应该不是啥关键参数
查看第二三个key:ma569eedd00c3b、ucc3f8650c92ac
对这两个key的value去掉前两位后,进行base64解码
key:ma569eedd00c3b
value:(38)L2Jpbi9zaA==
解密:/bin/sh
key:ucc3f8650c92ac
value:(Ak)Y2QgIi92YXIvd3d3L2h0bWwiO2lkO2VjaG8gZTEyNGJjO3B3ZDtlY2hvIDQzNTIz
解密:cd "/var/www/html";id;echo e124bc;pwd;echo 43523
所以执行的第一个命令应该是 id
从返回包执行的命令结果也能看出来:
flag{id}3.黑客读取了哪个文件的内容,提交文件绝对路径
查看 90 的 http数据包
知道数数据包中的value生成逻辑就不用再看代码了,直接去掉value的前两位后进行base64解密
(mt)Y2QgIi92YXIvd3d3L2h0bWwiO2NhdCAvZXRjL3Bhc3N3ZDtlY2hvIGUxMjRiYztwd2Q7ZWNobyA0MzUyMw==
cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523可以看到cat 查看了/etc/passwd文件
从返回包的结果中也能看出:
flag{/etc/passwd}4.黑客上传了什么文件到服务器,提交文件名
查看 422 的 http数据包
去掉value的前两位后进行base64解密
(0Z)L3Zhci93d3cvaHRtbC9mbGFnLnR4dA==
/var/www/html/flag.txt发现上传了flag.txt文件
flag{flag.txt}5.黑客上传的文件内容是什么
查看 422 的数据包
该参数为十六进制编码,进行解密发现flag
666C61677B77726974655F666C61677D0A
flag{write_flag}
6.黑客下载了哪个文件,提交文件绝对路径
查看 606 的数据包,查看追踪流中的代码,URL解码之后再 PHP代码格式化
发现 key: t41ffbc5fb0c04 传入的值会被读取,也就是config.php文件会被读取,到客户端之后再进行处理,变相的实现了文件下载的效果
# base64解密:
(2e)L3Zhci93d3cvaHRtbC9jb25maWcucGhw
/var/www/html/config.php得到 flag 是:
flag{/var/www/html/config.php}flag
flag{1}
flag{id}
flag{/etc/passwd}
flag{flag.txt}
flag{write_flag}
flag{/var/www/html/config.php}