CTF中的流量分析
2022-7-11 08:32:55 Author: 李白你好(查看原文) 阅读量:70 收藏

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,K3安全团队以及文章作者不为此承担任何责任。K3安全团队有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经K3安全团队允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

总结一下 ctf 遇到流量分析的题目

[陇剑杯 2021]签到

此时正在进行的可能是__________协议的网络攻击

image-20220709162258851

统计一下 发现 4xx 的流量占据绝大多数

image-20220709163426093

多个请求 从一个ip 发出 猜测是 针对http  协议的攻击。

[陇剑杯 2021]jwt(问2)

昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答:
该网站使用了______认证方式。(如有字母请全部使用小写)。

因为说了是jwt嘛 直接搜的请求包的 "=" 因为猜测可能会改名什么

image-20220709170545134

这一段 很符合jwt格式

image-20220709192843364

正常解密 所以 认证方式 是 jwt

[陇剑杯 2021]jwt(问2)

昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答:
黑客绕过验证使用的jwt中,id和username是______。(中间使用#号隔开,例如1#admin

解密答案是

image-20220709193000588

[陇剑杯 2021]jwt(问3)

昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答:
黑客获取webshell之后,权限是______

思路是 知道post 传参 然后过滤 post数据包 看什么时候webshell   查看对应的语句 和结果

image-20220709193703181

[陇剑杯 2021]jwt(问4)

昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答:
黑客上传的恶意文件文件名是_____________。
image-20220709194218244

和上面一个思路 找执行命令的地方 看到 这边有个很长的echo 拉到最下面发现 写入的文件名

1.c

[陇剑杯 2021]jwt(问5)

昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答:
黑客在服务器上编译的恶意so文件,文件名是_____________。
image-20220709194902205

传完 .c 和 makefile 之后 马上出现了 这个so 文件 可以推断这就是 编译的so文件

或者也可以根据这段确定 so 文件名称

image-20220709195040223
CFLAGS += -Werror -Wall

looter.so: looter.c
 gcc $(CFLAGS) -fPIC -shared -Xlinker -x -o [email protected] $< -lcurl

[陇剑杯 2021]jwt(问6)

昨天,单位流量系统捕获了黑客攻击流量,请您分析流量后进行回答:
黑客在服务器上修改了一个配置文件,文件的绝对路径为_____________。
image-20220709195234806

比较简单的题 适合入门

[陇剑杯 2021]webshell(问1)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客登录系统使用的密码是_____________
image-20220709201821159

Form item: "password" = "[email protected]#"

[陇剑杯 2021]webshell(问2)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客修改了一个日志文件,文件的绝对路径为_____________
image-20220709203508384

合并一下 得到/var/www/html/data/Runtime/Logs/Home/21_08_07.log

[陇剑杯 2021]webshell(问3)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客获取webshell之后,权限是______

http.request.method eq "POST" && http contains "whoami" 过滤一下 很容易找到

image-20220709211620225

www-data

[陇剑杯 2021]webshell(问4)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客写入的webshell文件名是_____________。
image-20220709212205688

一眼写shell 直接出 1.php

image-20220709212004716

另外這個1.php 流量一看就是蚁剑的流量 易得 webshell名 1.php

[陇剑杯 2021]webshell(问5)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客上传的代理工具客户端名字是_____________
image-20220709213415185

后面的数据包中 发现执行了一次 ls 命令 发现了 frpc.ini 推测使用frp作为代理

答案是 frpc 不是frp 看半天 hhhh 没审好题

[陇剑杯 2021]webshell(问6)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客代理工具的回连服务端IP是_____________。

也就是 frpc 里的server地址

image-20220709231027907

连上自己的webshell之后 第一个操作就是传这个frpc.ini

[common]
server_addr = 192.168.239.123
server_port = 7778
token=Xa3BJf2l5enmN6Z7A8mv

[test_sock5]
type = tcp
remote_port =8111
plugin = socks5
plugin_user = 0HDFt16cLQJ
plugin_passwd = JTN276Gp
use_encryption = true
use_compression = true

这下 下一问答案也有了

[陇剑杯 2021]webshell(问7)

单位网站被黑客挂马,请您从流量中分析出webshell,进行回答:
黑客的socks5的连接账号、密码是______。

0HDFt16cLQJ#JTN276Gp

长按关注

K3安全团队 @k3secTeam


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247491844&idx=2&sn=03439c14593b5afe66785192c778a7e5&chksm=c09a9254f7ed1b42495d0678e050db7ea8ccdfde9418cd268ab4b36e3230c96828d5d10baecf#rd
如有侵权请联系:admin#unsafe.sh