流量特征分析-蚁剑流量分析

简介
1.木马的连接密码是多少
2.黑客执行的第一个命令是什么
3.黑客读取了哪个文件的内容，提交文件绝对路径
4.黑客上传了什么文件到服务器，提交文件名
5.黑客上传的文件内容是什么
6.黑客下载了哪个文件，提交文件绝对路径

步骤#1.1

步骤#1.2

黑客执行的第一个命令是什么，因为找的是第一个命令，所以从第一个流中查看

url解码后，根据蚁剑的特性，传参的第三位开始才是真正的参数，将其复制base64解码

步骤#1.3

明显是/etc/passwd

步骤#1.4

步骤#1.5

蚁剑上传文件，它的文件内容会被16进制编码，第一个和第二个参数分别进行解码

步骤#1.6

url解码后发现存在尝试打开文件读取的操作