文章讲述了使用Wireshark分析网络流量,发现攻击者使用冰蝎3.0进行webshell连接,通过AES加密传输数据。通过解码和过滤,找到了攻击者上传的文件内容,以及服务器内网IP和用户名,最终得出flag。
题目要求我们找到攻击者的内网ip和攻击者获取到的服务器用户名。
我们用wireshark打开流量包来分析一下
看到流量包我们先过滤一下,这里我们要过滤POST请求的报文所以我们用“http.request.method==POST”来过滤。
过滤之后就只有POST请求的报文啦,我们再来分析下报文。
我们从第一个报文开始看起,发现了攻击者的一句话话木马和一段被加密的字符串
经过URL和base64解码之后我们得到了攻击者上传的文件内容
根据题目和提供的代码分析我们发现攻击者用的是冰蝎3.0来进行webshell连接。
我们知道冰蝎的加密方式是aes加密,很明显解密的密钥就是默认的密钥。
可以看到冰蝎的响应流量是以json形式返回的,json的内容是base64编码的
我们继续浏览报文。
我们发现这个报文里回应的报文里有段aes密文加密,解密得到用户名www-data
我们继续浏览报文。
在tcp.stream eq 18中可以得到服务器内网IP地址:
解码得到:172.17.0.2
所以最终的flag就是flag{www-data_172.17.0.2}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
