记一次Webshell流量分析 | 添柴不加火

题目
流量分析

题目

1.黑客的 IP 地址是什么？

2.黑客通过漏洞上传连接服务器的文件名字是什么？

3.黑客上传的 Webshell 用的什么工具连接？[小写英文]

4.黑客利用什么漏洞来进行攻击？A.SQL注入 B.文件上传 C.XXE D.反序列化漏洞

5.黑客连接 Webshell 的连接密码是什么？[明文]

6.黑客连接 Webshell 后执行的第一条系统命令是什么？

7.黑客通过 Webshell 上传的文件内容是什么？[2005????]

8.黑客创建系统的用户名字叫什么？

流量分析

查找黑客IP，一般直接统计对话就能判断出来了，就算判断不出来也能定位2-3个可疑IP。

对字节降序处理，发现192.168.11.39的流量最大，最可能是黑客IP。

过滤一下这个IP和HTTP协议，大致看一下，发现上传了东西，可以判定这个IP就是黑客IP。

第1题答案：192.168.11.39

继续过滤一下包含"upload"的流量，发现上传了jpg格式的图片。

追踪HTTP流，发现上传的是图片马，文件名为san.php，连接密码是shell，利用了文件上传漏洞。

连接服务器的文件名可能是san.php，但是往下看流量会发现实际访问的地址是/uploads/1768728211_696ca6939300d_san.php

服务器对文件重命名了，所以最终连接服务器的文件名是1768728211_696ca6939300d_san.php

接下来分析webshell连接工具，蚁剑、冰蝎这些都有自己典型特征。

可以发现接下来连接成功后的流量都有一个默认参数名
而且还有base64编码解码操作，这是蚁剑（antsword）的特征。

第一个执行的系统命令一般就是连接成功后的第一个流量，接下来按照时间顺序追踪连接成功的第一个流量，解密响应包

发现响应信息包含当前用户名、目录及系统信息，说明执行了whoami命令。

按时间继续分析第二条流量，追踪HTTP流发现了504B0304，这是zip的魔数。导出zip压缩包，或者使用脚本将16进制数据导成zip。

脚本代码如下：
点击查看代码

复制代码

import binascii

def hex_to_zip(hex_data, output_filename="output.zip"):

    try:
        # 1. 将十六进制字符串转换为二进制数据
        binary_data = binascii.unhexlify(hex_data)

        # 2. 将二进制数据写入ZIP文件
        with open(output_filename, "wb") as f:
            f.write(binary_data)

        print(f"压缩包已成功导出：{output_filename}")
        print(f"文件大小：{len(binary_data)} 字节")

    except binascii.Error as e:
        print(f"十六进制数据格式错误：{e}")
    except IOError as e:
        print(f"文件写入失败：{e}")
    except Exception as e:
        print(f"未知错误：{e}")



if __name__ == "__main__":
    # 替换为你提取的ZIP十六进制数据
    zip_hex_data = ""

    # 调用函数生成ZIP文件
    hex_to_zip(zip_hex_data)