第六章 流量特征分析-常见攻击事件 tomcat wp

1、在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式:flag{ip},如:flag{127.0.0.1}

可看见有大量的IP为:14.0.0.120的ip攻击10.0.0.112。

2、找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}

这里我们使用ip128来查询其地址:ip查询 查ip 网站ip查询 同ip网站查询 iP反查域名 iP查域名 同ip域名

3、哪一个端口提供对web服务器管理面板的访问? flag格式:flag{2222}

这里提到了是tomcat,那可能就是tomcat的管理页面,这里我们直接跳过目录攻击流量来到第19948编号的流量。发现19951有http请求,我们追踪下流量看下。

经典的tomcat的页面,所有使用的端口为:8080

4、经过前面对攻击者行为的分析后,攻击者运用的工具是? flag格式:flag{名称}

这里我们随便打开一个扫描流量,看下ua头,这里我们看一下20144编号的http流,因为他要http请求,前面的攻击就应该是DDOS攻击,他一直发tcp连接的包,tcp洪泛攻击,后面他又进行目录的扫描。发现有大量的ua为下图的请求。咱们又不认识,百度一下,

确定为攻击工具,和攻击行为对应上了。

5、攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码? flag格式:flag{root-123}

这里许多人会想看看有没有post请求的登录包,但是tomcat有个很经典的getshell,rce应该很多人都打过吧,开局就是弱口令,但是他的登录方式不是post请求,而是对用户名和密码组合并base64加密,并放置于Authorization处,所有我们追踪下http流,并在20533编号处追踪下,

再找下200的返回包。

放入base64解密

6、攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称? flag格式:flag{114514.txt}

查看编号为20616的http流,看到经典的上传war包getshell,所有上传的文件为JXQOZY.war。

7.攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息? flag提示,某种任务里的信息

这里说到维权,又说某种任务,估计是想在计划任务里写反弹shell。

我开始查询nc,发现好多误导项,又想他会查看计划任务,就查询crontab,发现存在,再看下tcp流,发现他的反弹shell命令。

ok,恭喜你完成挑战。

8.总结:

大概的攻击流程就是:

  1. DDOS攻击,

2.使用工具爆破出来/manager/html路径,

3.再爆破用户名密码

4.上传war包getshell

5.写入计划任务,反弹shell

相关推荐
00后程序员张28 分钟前
免Mac上架实战:全平台iOS App上架流程的工具协作经验
websocket·网络协议·tcp/ip·http·网络安全·https·udp
GLAB-Mary1 小时前
OSPF虚拟链路术语一览:快速掌握网络路由
网络·智能路由器
tan77º1 小时前
【Linux网络编程】网络基础
linux·服务器·网络
缘友一世1 小时前
网安系列【4】之OWASP与OWASP Top 10:Web安全入门指南
安全·web安全
bing_1582 小时前
MQTT 和 HTTP 有什么本质区别?
网络·网络协议·http
杨浦老苏4 小时前
Docker端口映射查看工具Dockpeek
网络·docker·群晖
未来之窗软件服务4 小时前
通过网页调用身份证阅读器http websocket方法-华视电子————仙盟创梦IDE
网络·网络协议·http·仙盟创梦ide·东方仙盟·硬件接入
BD_Marathon4 小时前
Ubuntu下的Tomcat服务器部署
服务器·ubuntu·tomcat
创小匠5 小时前
创客匠人解析创始人 IP 定位:从专业度到用户心智的占领之道
网络·网络协议·tcp/ip
unable code5 小时前
攻防世界-Reverse-insanity
网络安全·ctf·reverse