【玄机应急】第六章 流量特征分析-蚁剑流量分析

一、附件下载

下载附件,在Wireshark中打开

image-20240615133002004

二、步骤一:木马的连接密码是多少

image-20240615133039067

筛选HTTP流量数据,典型的蚁剑流量特征

image-20240615133248238

蚁剑的连接密码也正是开头的1

三、步骤二:黑客执行的第一个命令是什么

image-20240615133448780

看来是需要对蚁剑的流量解密了,之前提到过蚁剑的流量解密

找到第一条蚁剑的流量,进行解密,记得去掉前两位的AK

image-20240615133730539

解密结果如下

1
cd "/var/www/html";id;echo e124bc;pwd;echo 43523

我们追踪http流,查看响应结果,执行的命令是id,这里感觉稍微有点那啥。。

image-20240615134031283

四、步骤三:黑客读取了哪个文件的内容

image-20240615134131656

当我们一条一条的解密,或者看响应包会发现,看的是/etc/passwd

image-20240615134357804

五、黑客上传了什么文件到服务器,提交文件名

image-20240615134435923

437号的响应包中出现了当前目录下所有的文件以及需改日期等信息

image-20240615135015460

flag.txt文件的日期是后面修改,说明该文件很可能是黑客上传的

六、黑客上传的文件内容是什么

还是锁定黑客上传的的422号请求包

image-20240615140207419

那另一组类似十六进制的值大概就是上传的内容,解密下

image-20240615140243694

七、黑客下载了哪个文件,提交文件绝对路径

image-20240615140324901

在最后一条

image-20240615140554508