您的位置:首页 > 房产 > 建筑 > 玄机平台流量特征分析-蚁剑流量分析

玄机平台流量特征分析-蚁剑流量分析

2024/12/23 8:14:02 来源:https://blog.csdn.net/2301_76227305/article/details/139836858  浏览:    关键词:玄机平台流量特征分析-蚁剑流量分析

前言

蚁剑的流量特征

(1)每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符

(2)响应包的结果返回格式为:

随机数

响应内容

随机数

看一下题目要求

步骤1.1

这里要求我们找到木马的连接密码,我们先http筛选一下。

直接看第一个post请求包,右键http追踪流查看,可以看到请求内容有1等于什么什么。这个就是蚁剑的连接密码。顺便可以看到请求体存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头,也符合我们蚁剑的流量特征。

flag{1}

步骤1.2

这里要求我们找到执行的第一个命令,还是上面那个post请求包,可以看到返回的第一个内容为

uid=33(www-data) gid=33(www-data) groups=33(www-data)

不难判断出是执行了id命令

flag{id}

步骤1.3

这里要求我们找到黑客读取了哪一个文件,我们可以一个一个地查看每一个流量包嘛,毕竟一共也没几个http流量包。在第三个http返回包中可以看到返回了大量的用户信息,所以不难判断出是读取了passwd这个文件。

flag{etc/passwd}

或者我们查看第三个post请求包,左下角可以看到有value值。

右键value值,选择显示分组字节,解码为base64,右下角开始为2,便可以看到执行的命令明文。

步骤1.4

这里要求我们找到黑客上传的文件,我们继续往下看。在第四个post请求包,我们向上面一样查看一下它的value值。发现是一个flag.txt文件,猜测这个就是它上传的文件。

flag{flag.txt}

步骤1.5

要求我们找到上传的文件内容是啥,还是第四个post请求包,看它value值。

解码之后的内容为flag{write_flag}

flag{write_flag}

步骤1.6

这个要求我们找到黑客下载了哪个文件,我们直接查看最后一个post请求包的value值,发现是请求了config.php文件。

再结合我们最后一个http反回包的内容,是一个配置文件的内容。结合config.php一般是配置文件,推测出下载了config.php文件。

flag{/var/www/html/config.php}

总结

最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com