玄机-流量特征分析-蚁剑流量分析

已于 2024-05-27 15:35:13 修改
阅读量1.8k 收藏 27
点赞数 31
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: 网络 MISC 玄机 流量分析
于 2024-05-27 15:33:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75023818/article/details/139238650

题目简介:

1.木马的连接密码是多少
2.黑客执行的第一个命令是什么
3.黑客读取了哪个文件的内容,提交文件绝对路径
4.黑客上传了什么文件到服务器,提交文件名
5.黑客上传的文件内容是什么
6.黑客下载了哪个文件,提交文件绝对路径

一:木马的连接密码是多少

思路:

连接肯定是登录成功,所以我们直接搜索(200是成功登录返回值)

http contains "200"

右键第一个请求包,点击“追踪流”->“HTTP流”,进行查看分析,得到木马的连接密码是 "1"

所以木马连接密码为1

flag{1}

二:黑客执行的第一个命令是什么

思路:

蚁剑连接执行命令的流量包,可以直接根据流量包顺序进行分析查看分析,解码后(根据编码特征发现是Base64编码)得到第一个命令执行语句

查看第1个流量包中执行的命令信息

最低0.47元/天 解锁文章

200万优质内容无限畅学
玄机平台流量特征分析-流量分析
2301_76227305的博客
06-20 1017
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
玄机第六章流量分析
2301_78815619的博客
09-28 1165
继续往下看报文看不出文件内容,既然flag.txt是请求包4发送的,那我们着重分析其数据包,追踪http流。拿到数据包,过滤出http协议,序号排序,点开http协议包 1=xxx,1为密码。查看第6个请求包和响应报文,发现很像,太像了,读取config.php操作。注意:base64解码,分组2字符,前两个字符为混淆字符,解密不用带。依次查看第二个请求包命令及其响应报文,无果,继续往下查看。发现第5个响应包比第二个响应包多了flag.txt文件。点开第一个数据包,base64编码语句进行解码。
玄机-第六章 流量特征分析-流量分析
sucker的博客
02-27 1364
1,已知攻击者使用的webshell的工具是,那么攻击者应该预先向服务器上传了木马文件,而且一句话木马上传成功了,那么就可以定位到响应码200的流量。4,问黑客传入什么文件进入服务器,思路很简单:上传文件使用的一般是POST请求,在web服务器文件上传通常使用HTTP的POST方法。"1" : "0");2,问攻击者执行的第一个命令是什么,那么我们就需要查看服务端(已经被攻击者使用控制)执行了哪些命令,依然是过滤响应码200的。
流量分析】——玄机 第六章 流量特征分析-waf 上的截获的黑客攻击流量
Raners_的博客
06-06 218
上面登录成功的序号是733517,那么我们直接看733517后来的数据包里面有什么信息,先过滤一下ip,只保留攻击者的ip。由于攻击者已经成功登录系统,那么我们直接看最后一条登录信息报文,攻击者传了什么参数。账号密码传参是使用了POST传参,那么我们就可以设置下一个筛选方案了。这种请求的,大概滤就是攻击者,我们可以结合攻击IP做下一步判断。发现这个攻击者一直在请求a.php文件,怀疑是木马。直接跟踪查找的返回包即可。同样在的响应包里面查找到。解码base64编码。这显示了是流量。
玄机练习——第六章 流量特征分析-流量分析
最新发布
2402_87221233的博客
07-08 830
默认使用自定义的 **User - Agent **头来标识其流量,例如 “Mozilla/5.0 AntSword”,若检测到该 User - Agent 头的流量,可能存在相关的恶意活动。目前用的最广的读取文件的命令是"cat",结合步骤2进行思考,步骤2 在流量包中通过查看字节流并解码,就查看到了黑客执行的命令,那么这题是不是也能用相同的思路进行推。执行的第一个命令,既然是执行,那么肯定会有状态码为200的包,那么就从这入手,此外还要注意的一点是,“第一个”,肯定是有着时间的关系的。
第六章 流量特征分析-流量分析玄机靶场系列)
m0_73062138的博客
05-05 726
text/html。
[玄机]流量特征分析-流量分析
热门推荐
网安日记本的博客
07-31 1万+
流量特征分析-流量分析题目做法及思路解析(个人分享)
第六章 流量特征分析-流量分析
weixin_67832625的博客
10-08 641
将pcap文件导入wireshark,使用筛选功能筛选http数据包对于抓到的数据包使用 右键 – 追踪流功能进行查看数据包详情特征1:每个请求体都由以下数据开始特征2:content-Length:有uelencode字段特征3:响应包,都是明文(也存在加密的情况)选择靶机 – 本机查看返回结果发现结果为一段随机字符+返回结果。
玄机第六章 流量特征分析-流量分析
weixin_68416970的博客
09-28 638
玄机靶场:第六章 流量特征分析-流量分析的详解
玄机-应急平台】第六章 流量特征分析-流量分析
Aluxian_的博客
05-30 1722
记一次流量分析 和总结
玄机平台流量特征分析—蚂爱上树
2301_76227305的博客
06-24 585
这次的流量分析步骤1.2和步骤1.3都有点涉及到知识盲区了,我的理解是rundll32.exe生成了一个.dmp文件存储账号密码。然后需要导出http流量找到.dmp文件,再用mimikatz读取。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
玄机平台流量特征分析-常见攻击事
2301_76227305的博客
06-18 722
最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
[玄机-应急响应平台] 流量特征分析-流量分析
m0_73649671的博客
04-17 1319
流量特征分析-流量分析
流量分析
震山的博客
09-12 2313
流量有何规则,也许看完这篇有所收获吧
流量分析——一、流量特征
钟言的博客
06-05 5333
本篇为流量分析——1、的webshell特征流量分析,详细内容包含了:Webshell特征流量分析 环境介绍 使用Wireshark进行流量分析、 1、环境说明 2、HTTP追踪流分析 3、请求体中代码块解读四、使用BurpSurite进行流量分析 1、环境配置 2、抓包分析 六、总结等内容
浅谈流量分析,从零基础到精通,收藏这篇就够了!_antsword 流量分析
yy1715713348的博客
02-22 1049
1、前言最近打CTF比赛,遇到了流量分析的题目,通过流量分析还原黑客攻击的过程、执行了哪些操作、偷走了哪些数据。这个过程中就涉及到了webshell工具,有冰蝎、哥斯拉、。这次就先谈谈流量分析,下次再分享其他工具的流量分析。2、流量分析2.1 编码与解码AntSword 是一款开源、跨平台的网站管理工具,旨在满足渗透测试人员、具有权限和授权的安全研究人员以及网站管理员的需求。测试文件上传漏洞时,经常用到该工具。
中国流量分析
UserNick157的博客
04-25 7575
中国流量分析 文章目录中国流量分析1.代理2.测试连接数据包:执行代码:执行结果:3.双击连接第一个数据包数据包:第二个数据包数据包:执行代码:response:4.打开文件夹数据包:5.打开文件数据包:执行代码:6.修改文件1.修改小文件数据包:执行代码:2.修改大文件7.wget文件数据包执行代码:8.删除文件数据包:执行代码:9.上传文件1.数据包:执行代码:10.打开终端数据包执行代码:与相关功能模块源码部分知识点1.测试连接部分2.删除文件3.命令执行 1.代理 有设置代理的功能,
玄机 3.0-jsp流量分析
06-28
这一步骤有助于业务人员和技术团队快速理解流量特征,并做出相应决策。 ### 自动化监控与报警 在实际生产环境中,建议设置自动化监控机制。可以结合Prometheus等监控工具,定期检查JSP流量的关键指标,并在异常...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值