当前位置: 首页> 房产> 建筑 > 玄机-流量特征分析-蚁剑流量分析

玄机-流量特征分析-蚁剑流量分析

时间:2025/7/11 1:13:00来源:https://blog.csdn.net/qq_75023818/article/details/139238650 浏览次数:0次

题目简介:

1.木马的连接密码是多少
2.黑客执行的第一个命令是什么
3.黑客读取了哪个文件的内容,提交文件绝对路径
4.黑客上传了什么文件到服务器,提交文件名
5.黑客上传的文件内容是什么
6.黑客下载了哪个文件,提交文件绝对路径

一:木马的连接密码是多少

思路:

连接肯定是登录成功,所以我们直接搜索(200是成功登录返回值)

http contains "200"

右键第一个请求包,点击“追踪流”->“HTTP流”,进行查看分析,得到木马的连接密码是 "1"

所以木马连接密码为1

flag{1}

二:黑客执行的第一个命令是什么

思路:

蚁剑连接执行命令的流量包,可以直接根据流量包顺序进行分析查看分析,解码后(根据编码特征发现是Base64编码)得到第一个命令执行语句

查看第1个流量包中执行的命令信息

右键“Value”位置,点击“分组字节流”,开始位置调整为“2”,解码为调整为“Base64”,查看流量包执行的命令内容,得到第一个执行的命令 "id"(查看当前用户uid)

注意:蚁剑会在编码前加两位随机生成的字符,所以需要调整开始位置

得到flag:flag{id}

三:黑客读取了哪个文件的内容,提交文件绝对路径

思路:

根据前面题目,我们找到了蚁剑连接的流量,执行的命令。继续对流量进行分析,查看流量包内容,得到读取的文件绝对路径

查看请求流量包以及返回流量包,第三个返回包中回显了大量信息,猜测查看了文件内容(根据经验一般可以直接看出查看的是/etc/passwd文件)

点击第3个请求包,右键编码“Value”位置,位置,点击“分组字节流”,开始位置调整为“2”,解码为调整为“Base64”,查看流量包执行的命令内容,得到黑客查看文件命令 "cat /etc/passwd"

得到flag:flag{/etc/passwd}

四:黑客上传了什么文件到服务器,提交文件名

思路:

根据之前做的分析,继续查看后面的流量包。通过分析回显流量包,发现第5个返回包与第2个返回包相比多了一个文件,由此可以得到文件名,当然我们也可以直接分析解码得到上传文件名

点击第4个请求包,右键编码“Value”位置,位置,点击“分组字节流”,开始位置调整为“2”,解码为调整为“Base64”,查看流量包执行的命令内容,得到黑客上传文件名 "flag.txt"

得到flag:flag{flag.txt}

五:黑客上传的文件内容是什么

思路:

我们在得到黑客上传的文件名后,通过查看返回包我们发现上传文件与执行系统命令的数据不相同,只能查看请求数据包进行分析,通过对请求包数据的解码分析得到上传文件内容

点第4个请求包,右键“追踪流”->“HTTP流”,将编码复制,进行解码

URL解码(直接根据编码特征进行判断),发现流量包后面有两段编码

最后一段明显是Base64编码(解码后就是上传文件的绝对路径),第二段编码就是文件内容(蚁剑上传的文件会对内容进行16进制加密),进行解密得到文件内容 

得到flag:flag{write_flag}

六:黑客下载了哪个文件,提交文件绝对路径

思路:

直接查看流量包信息,解码后即可获得

点击第6个请求包,右键编码“Value”位置,位置,点击“分组字节流”,开始位置调整为“2”,解码为调整为“Base64”,查看流量包执行的命令内容,得到黑客下在的文件名 "config.php"

得到flag:flag{/var/www/html/config.php}

题目地址:第六章 流量特征分析-蚁剑流量分析 · 玄机 (edisec.net)

玄机注册需要邀请码

关键字:玄机-流量特征分析-蚁剑流量分析

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

责任编辑: