玄机蓝队靶场_应急响应_03:流量特征分析-蚁剑流量

感觉拿到流量先自行分析,分析完了再去跟着步骤提示提交flag,这样练习效果比较好。

分析:

因为包的数量比较少,大多是,只有六对http报文,过滤一下

把POST请求的主要内容复制下来:
image

image

并且自己生成了一下中国蚁剑的shell,发现和样本格式不太一样。我没看出连接密码,不熟悉蚁剑流量,自己生成一个,抓包看看特征:

image

刚开始用蚁剑自带的免杀shell生成马,发现怎么连都连不上(知道的大佬带带),只能用一句话去连,连上之后,对应的测试连接时的BP抓的包(不知道为什么我用BP代理,无法正常取得返回数据):
default编码:

image

base64:
image

chr:
image

chr16:
image

rot13:
image

对应的科来抓到的数据包:

default:
image

base64加密:

image
chr:
image

chr16:
image

rot13:
image

采用shell终端执行命令时的数据包内容:
image

分析以上情况可以得到:

1:蚁剑连接shell时测试连接大概做了以下操作:

关闭错误显示,并将脚本执行时间限制设置为无限制。
open_basedir 限制来尝试绕过目录限制,并在允许的目录下创建一个隐藏目录(.72bfca2c),然后尝试修改当前目录和 open_basedir 配置,以便进行文件操作。
输出随机字符串"31d0f4",然后在目标主机执行命令获取当前目录,目标主机的磁盘情况,主机系统,用户账号名然后再拼接随机字符串"f5093204"返回。
实例:
6c
31d0f4E:/phpStudy_pro/WWW	C:D:E:	Windows NT DESKTOP-VDFF0NA 10.0 build 19044 (Windows 10) AMD64	bluef5093204
0

测试连接的请求数据格式参数雷同:
cmd=   eval()   ini_set()  eVAL()  chr加密格式特征明显:ChR(0x24).ChR(0x52)

2:蚁剑的命令执行时特征:

返回的执行数据会被包裹在随机字符串内,且会跟着一个当前路径,示例:
20a
bb468fd9ae8
Windows IP 配置


以太网适配器 Ethernet0:

   连接特定的 DNS 后缀 . . . . . . . : localdomain
   本地链接 IPv6 地址. . . . . . . . : fe80::306f:bd1d:ad2b:8505%2
   IPv4 地址 . . . . . . . . . . . . : 192.168.5.139
   子网掩码  . . . . . . . . . . . . : 255.255.255.0
   默认网关. . . . . . . . . . . . . : 192.168.5.2

以太网适配器 蓝牙网络连接:

   媒体状态  . . . . . . . . . . . . : 媒体已断开连接
   连接特定的 DNS 后缀 . . . . . . . : 
4424d
E:\phpStudy_pro\WWW
49246ed6ce 
51a43665284a
0

请求体特征(和测试连接的特征差不多):
默认编码还是包含cmd= ini_set()特征, eVAL()  chr加密格式特征明显:ChR(0x24).ChR(0x52)
eval()

参考别人博客:https://blog.csdn.net/qq_59468567/article/details/137469199

image
狐狸工具箱里的蚁剑的UA头已经更改过了


借助AI工具对第一个主要webshell代码进行分析:
发现webshell取表单数据中第三个字符到末尾作为接收数据,base64解密发现:
/bin/sh
cd "/var/www/html";id;echo e124bc;pwd;echo 43523

第二个流量报文中的表单内容:
/bin/sh
cd "/var/www/html";ls;echo e124bc;pwd;echo 43523

第三个报文:
/bin/sh
cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523

第四个:
/var/www/html/flag.txt
flag{write_flag}

第五个:
/var/www/html/

第六个:
/var/www/html/config.php

解题:

1.1:
因为流量中参数就几个,cmd参数是流量特征,其它参数是命令,所以连接密码只有1.
flag{1}
1.2:
结合蚁剑的流量特征,真正的数据在响应体中间,所以
image
uid那串是执行的第一个命令,对应是表单传递命令中的id命令
flag{id}
1.3:
cd "/var/www/html";cat /etc/passwd;echo e124bc;pwd;echo 43523
flag{/etc/passwd}
1.4:
flag{flag.txt}
1.5:
flag{flag{write_flag}}
1.6:
flag{/var/www/html/config.php}

收获:

对蚁剑的流量特征有基本了解和记忆。
掌握蚁剑的基本使用。

posted @ 2024-09-02 10:46  蓝尽红出  阅读(93)  评论(0编辑  收藏  举报