第六章-流量特征分析-Waf上的截获的黑客攻击流量

N1Rvana included in 应急响应

2024-06-05 About 100 words One minute - views

Contents

0x00环境分析

1
2
3


1.黑客成功登录系统的密码 flag{xxxxxxxxxxxxxxx}  
2.黑客发现的关键字符串 flag{xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx}  
3.黑客找到的数据库密码 flag{xxxxxxxxxxxxxxxx}  

0x01

1、黑客成功登录系统的密码
直接过滤http请求，找到登陆请求，进行过滤
_ws.col.info == "POST /admin/login.php?rec=login HTTP/1.1 (application/x-www-form-urlencoded)" || http.response.code == 302
flag{admin!@#pass123}
2、黑客发现的关键字符串
/images/article/a.php是webshell
所以关键字符串大概率在服务器中，黑客可以通过webshell看到
http.request.uri=="/images/article/a.php" || http.response.code==200
flag{87b7cb79481f317bde90c116cf36084b}
3.黑客找到的数据库密码
在webshell流量中找到了操作数据库的流量

1
2
3
4
5
6
7


<?php  
$conf = $m ? stripslashes($_POST["z1"]) : $_POST["z1"];  
$ar = explode("choraheiheihei", $conf);  
$dbn = $m ? stripslashes($_POST["z2"]) : $_POST["z2"];  
$sql = base64_decode($_POST["z3"]);  
var_dump("host:".$ar[0],"username:".$ar[1],"password:".$ar[2]);  
?>  

得到密码
flag{e667jUPvJjXHvEUv}