记一次Webshell流量分析 | 添柴不加火

目录

• 题目
  
• 流量分析
  

题目

1.黑客的 IP 地址是什么？
2.黑客通过漏洞上传连接服务器的文件名字是什么？
3.黑客上传的 Webshell 用的什么工具连接？[小写英文]
4.黑客利用什么漏洞来进行攻击？A.SQL注入 B.文件上传 C.XXE D.反序列化漏洞
5.黑客连接 Webshell 的连接密码是什么？[明文]
6.黑客连接 Webshell 后执行的第一条系统命令是什么？
7.黑客通过 Webshell 上传的文件内容是什么？[2005????]
8.黑客创建系统的用户名字叫什么？
流量分析

查找黑客IP，一般直接统计对话就能判断出来了，就算判断不出来也能定位2-3个可疑IP。

对字节降序处理，发现192.168.11.39的流量最大，最可能是黑客IP。

过滤一下这个IP和HTTP协议，大致看一下，发现上传了东西，可以判定这个IP就是黑客IP。

第1题答案：192.168.11.39
继续过滤一下包含“upload”的流量，发现上传了jpg格式的图片。

追踪HTTP流，发现上传的是图片马，文件名为san.php，连接密码是shell，利用了文件上传漏洞。

连接服务器的文件名可能是san.php，但是往下看流量会发现实际访问的地址是/uploads/1768728211_696ca6939300d_san.php
服务器对文件重命名了，所以最终连接服务器的文件名是1768728211_696ca6939300d_san.php
接下来分析webshell连接工具，蚁剑、冰蝎这些都有自己典型特征。
可以发现接下来连接成功后的流量都有一个默认参数名

而且还有base64编码解码操作，这是蚁剑（antsword）的特征。
第一个执行的系统命令一般就是连接成功后的第一个流量，接下来按照时间顺序追踪连接成功的第一个流量，解密响应包

发现响应信息包含当前用户名、目录及系统信息，说明执行了whoami命令。
按时间继续分析第二条流量，追踪HTTP流发现了504B0304，这是zip的魔数。导出zip压缩包，或者使用脚本将16进制数据导成zip。

脚本代码如下：
点击查看代码

1. import binascii
3. def hex_to_zip(hex_data, output_filename="output.zip"):
5.     try:
6.         # 1. 将十六进制字符串转换为二进制数据
7.         binary_data = binascii.unhexlify(hex_data)
9.         # 2. 将二进制数据写入ZIP文件
10.         with open(output_filename, "wb") as f:
11.             f.write(binary_data)
13.         print(f"压缩包已成功导出：{output_filename}")
14.         print(f"文件大小：{len(binary_data)} 字节")
16.     except binascii.Error as e:
17.         print(f"十六进制数据格式错误：{e}")
18.     except IOError as e:
19.         print(f"文件写入失败：{e}")
20.     except Exception as e:
21.         print(f"未知错误：{e}")
25. if __name__ == "__main__":
26.     # 替换为你提取的ZIP十六进制数据
27.     zip_hex_data = ""
29.     # 调用函数生成ZIP文件
30.     hex_to_zip(zip_hex_data)

复制代码

得到了一个压缩包发现需要密码，通过分析后续流量发现黑客使用了20050101这个密码来解压这个zip，或者也可以根据提示暴力破解这个压缩包。

解压后得到里面的内容：flag{443302daf6e587bc1d358dbf7a91e9b5}
这是一个Windows系统，创建用户的时候一般会使用net user或net localgroup命令来完成。
把net localgroup编码一下搜索
bmV0IGxvY2FsZ3JvdXA

找到了两个可疑的流量，追踪分析

如果之前做过这种题就会发现Y2Q是cd命令的base64编码，将Y2Q开头到MQ结尾的部分base64解码。

解码发现把jiusan用户加到管理员群组了。
题目回顾：
1.黑客的 IP 地址是什么？
2.黑客通过漏洞上传连接服务器的文件名字是什么？
3.黑客上传的 Webshell 用的什么工具连接？[小写英文]
4.黑客利用什么漏洞来进行攻击？A.SQL注入 B.文件上传 C.XXE D.反序列化漏洞
5.黑客连接 Webshell 的连接密码是什么？[明文]
6.黑客连接 Webshell 后执行的第一条系统命令是什么？
7.黑客通过 Webshell 上传的文件内容是什么？[2005????]
8.黑客创建系统的用户名字叫什么？
综上分析：
192.168.11.39
1768728211_696ca6939300d_san.php
antsword
文件上传
shell
whoami
flag{443302daf6e587bc1d358dbf7a91e9b5}
jiusan

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！