溯源取证-WEB流量分析-简单

话不多说直接干:

题干:

开发团队在公司的一个 Web 服务器上发现了异常文件,开发团队怀疑该服务器上存在潜在的恶意活动,网络团队准备了一个包含关键网络流量的 pcap 文件,供安全团队分析,而你的任务是分析 pcap,并从中发现问题

了解攻击的地理来源有助于地理封锁措施和威胁情报分析。攻击者起源于哪个城市?

直接过滤http数据包,而后我们可以发现,有一条.jpg.php的文件,一眼丁真

了解攻击者的user-agent有助于创建可靠的过滤规则。攻击者的user-agent是什么?

我们对上传动作进行数据流追踪


可以看到确定是webshell无疑,那么直接拿ua就行

Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0

我们需要确定是否存在潜在的漏洞被利用。上传的恶意 Web Shell 叫什么名字?

上一张图其实上传失败了,因为攻击者最先上传的是imgae.php ,所以我们返回上一层,翻到下一个数据包进行数据流追踪

了解上传文件的存储目录对于加强对未经授权访问的防御非常重要。网站使用哪个目录来存储上传的文件?

这个题目其实个人理解就是,攻击者访问的webshell的路径是什么

/reviews/uploads/

识别 Web Shell 使用的端口有助于改进防火墙配置,以阻止未经授权的出站流量。恶意 Web Shell 使用了什么端口用来通信?

很显然,是8080

了解泄露数据的价值有助于确定事件响应操作的优先级。攻击者试图泄露什么文件?

在上传了webshell后,攻击者利用webshell进行了通信活动,在翻找的过程发现了敏感的数据包


相关推荐
蓝染-惣右介2 分钟前
【MyBatisPlus·最新教程】包含多个改造案例,常用注解、条件构造器、代码生成、静态工具、类型处理器、分页插件、自动填充字段
java·数据库·tomcat·mybatis
.Ayang11 分钟前
tomcat 后台部署 war 包 getshell
java·计算机网络·安全·web安全·网络安全·tomcat·网络攻击模型
ZZZCY200313 分钟前
华为ENSP--IP编址及静态路由配置
网络·华为
EasyCVR30 分钟前
私有化部署视频平台EasyCVR宇视设备视频平台如何构建视频联网平台及升级视频转码业务?
大数据·网络·音视频·h.265
hgdlip1 小时前
主IP地址与从IP地址:深入解析与应用探讨
网络·网络协议·tcp/ip
珹洺1 小时前
C语言数据结构——详细讲解 双链表
c语言·开发语言·网络·数据结构·c++·算法·leetcode
科技象限1 小时前
电脑禁用U盘的四种简单方法(电脑怎么阻止u盘使用)
大数据·网络·电脑
东方隐侠安全团队-千里1 小时前
网安瞭望台第3期:俄黑客 TAG - 110组织与密码攻击手段分享
网络·chrome·web安全·网络安全
云计算DevOps-韩老师2 小时前
【网络云计算】2024第47周-每日【2024/11/21】周考-实操题-RAID6实操解析2
网络·云计算
lwprain2 小时前
常用docker应用部署,wordpress、mysql、tomcat、nginx、redis
mysql·docker·tomcat