[玄机]流量特征分析-蚁剑流量分析

这篇具有很好参考价值的文章主要介绍了[玄机]流量特征分析-蚁剑流量分析。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

流量特征分析-蚁剑流量分析        题目做法及思路解析(个人分享)

AntSword(蚁剑)是一款开源的网络安全工具,常用于网络渗透测试和攻击。它可以远程连接并控制被攻击计算机,执行命令、上传下载文件等操作。

蚁剑与网站进行数据交互的过程中,发送的数据是经过编码器编码后再发送,支持的编码方式有default(默认的)、base64、chr、chr16、rot13;网站返回的数据经过解码器中的编码方式编码后返回,支持的编码方式有default、base64、rot13。

问一:木马的连接密码是多少

题目思路:

题目没有给出提示,但根据标题命名得知分析的是蚁剑流量包,所以我们可以直接查看http数据包进行分析。通过对统计数据的分析,我们可以得到http数据大致的访问信息,再通过查询语句过滤流量包得到成功访问的流量包

方法:

1、左键点击“统计”->“HTTP”->“分组计数器”查看分析HTTP流量数据

[玄机]流量特征分析-蚁剑流量分析,# Misc(杂项),安全,网络

2、http contains "200" 查看http协议中包含200(成功登录返回值)的流量包

[玄机]流量特征分析-蚁剑流量分析,# Misc(杂项),安全,网络

3、右键其中一个请求包,点击“追踪流”->“HTTP流”,进行查看分析,得到木马的连接密码是 "1"

[玄机]流量特征分析-蚁剑流量分析,# Misc(杂项),安全,网络

flag{1}

问二:黑客执行的第一个命令是什么

题目思路:

通过分析刚才语句过滤后的流量包,我们发现这些就是蚁剑连接执行命令的流量包,可以直接根据流量包顺序进行分析查看分析,解码后(根据编码特征发现是Base64编码)得到第一个命令执行语句

方法:

1、查看第1个流量包中执行的命令信息

[玄机]流量特征分析-蚁剑流量分析,# Misc(杂项),安全,网络

2、右键编码“Value”位置,点击“分组字节流”,开始位置调整为“2”,解码为调整为“Base64”,查看流量包执行的命令内容,得到第一个执行的命令 "id"(查看当前用户uid)

蚁剑会在编码前加两位随机生成的字符,所以需要调整开始位置

[玄机]流量特征分析-蚁剑流量分析,# Misc(杂项),安全,网络

flag{id}

问三:黑客读取了哪个文件的内容,提交文件绝对路径

题目思路:

根据之前的题目,我们已经找到了蚁剑连接的流量,以及执行的命令。继续对流量进行分析,查看流量包内容,得到读取的文件绝对路径

方法:

1、依次查看请求流量包以及以及返回流量包,第三个返回包中回显了大量信息,猜测查看了文件内容(其实根据经验可以直接看出查看的是/etc/passwd文件)

[玄机]流量特征分析-蚁剑流量分析,# Misc(杂项),安全,网络

2、点击第3个请求包,右键编码“Value”位置,位置,点击“分组字节流”,开始位置调整为“2”,解码为调整为“Base64”,查看流量包执行的命令内容,得到黑客查看文件命令 "cat /etc/passwd"

[玄机]流量特征分析-蚁剑流量分析,# Misc(杂项),安全,网络

flag{/etc/passwd}

问四:黑客上传了什么文件到服务器,提交文件名

题目思路:

根据之前做的分析,继续查看后面的流量包。通过分析回显流量包,发现第5个返回包与第2个返回包相比多了一个文件,由此可以得到文件名,当然我们也可以直接分析解码得到上传文件名

方法:

1、点击第4个请求包,右键编码“Value”位置,位置,点击“分组字节流”,开始位置调整为“2”,解码为调整为“Base64”,查看流量包执行的命令内容,得到黑客上传文件名 "flag.txt"

[玄机]流量特征分析-蚁剑流量分析,# Misc(杂项),安全,网络

flag{flag.txt}

问五:黑客上传的文件内容是什么

题目思路:

我们在得到黑客上传的文件名后,通过查看返回包我们可以发现上传文件与执行系统命令的请求数据并不相同,只能查看请求数据包进行分析,通过对请求包数据的解码分析得到上传文件内容

方法:

1、点击第4个请求包,右键“追踪流”->“HTTP流”,将编码复制,进行解码

[玄机]流量特征分析-蚁剑流量分析,# Misc(杂项),安全,网络

2、首先进行URL解码(直接根据编码特征进行判断),查看后发现流量包后面有两段编码

[玄机]流量特征分析-蚁剑流量分析,# Misc(杂项),安全,网络

3、最后一段编码明显是Base64编码(解码后就是上传文件的绝对路径),猜测第二段编码为文件内容(蚁剑上传的文件会对内容进行16进制加密),进行解密得到文件内容 "flag{write_flag}"

[玄机]流量特征分析-蚁剑流量分析,# Misc(杂项),安全,网络

如果仔细分析之前的流量包,我们可以发现,在执行命令时此位置同样会出现编码(Base64编码),解码后为 "/bin/sh",猜测蚁剑使用 "/bin/sh" 来执行系统命令

flag{write_flag}

问六:黑客下载了哪个文件,提交文件绝对路径

题目思路:

这个与之前相同,直接查看流量包信息,解码后即可获得

方法:

1、点击第6个请求包,右键编码“Value”位置,位置,点击“分组字节流”,开始位置调整为“2”,解码为调整为“Base64”,查看流量包执行的命令内容,得到黑客下在的文件名 "config.php"

[玄机]流量特征分析-蚁剑流量分析,# Misc(杂项),安全,网络

flag{/var/www/html/config.php}

题目网址【玄机】:https://xj.edisec.net/文章来源地址https://www.toymoban.com/news/detail-824654.html

到了这里,关于[玄机]流量特征分析-蚁剑流量分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 蚁剑流量分析

    蚁剑是什么           蚁剑(AntSword)是一款开源的跨平台WebShell管理工具 蚁剑流量特征两大特征         1、默认的 user-agent 请求头是 antsword xxx(可修改)         2、蚁剑的正文内容用URL加密,解密后流量最中明显的特征为ini_set(\\\"display_errors\\\",\\\"0\\\"); 分析前准备工作  

    2024年02月13日
    浏览(45)
  • Shell管理工具流量分析-上(菜刀、蚁剑、冰蝎2.0流量分析)&入侵检测、应急响应资料整理

    本文将会从攻防的角度分析常用 webshell 管理工具(菜刀、蚁剑、冰蝎2.0,冰蝎3.0、哥斯拉将在下篇介绍)的流量特点,后半部分会整理一些有关 webshell 入侵检测和应急响应的文章 先从最简单的开始吧,菜刀也算是比较早的 webshell 管理工具了,加密方式比较简单,这里分析

    2024年02月02日
    浏览(46)
  • MISC:HTTP 流量分析技术.

    Misc即杂项,是信息隐藏又称信息伪装,就是通过减少载体的某种冗余,如空间冗余、数据冗余等,来隐藏敏感信息,达到某种特殊的目的。 信息隐藏打破了传统密码学的思维范畴,从一个全新的视角审视信息安全。与传统的加密相比,信息隐藏的隐蔽性更强,在信息隐藏中

    2024年02月11日
    浏览(40)
  • 渗透测试-菜刀冰蝎蚁剑哥斯拉等webshell工具及特征分析

    在测试过程中,我们经常会运到各种webshell管理工具,这里我介绍几种常见的webshell工具给大家。 webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访

    2024年02月16日
    浏览(36)
  • wireshark流量分析网络安全

    目录  前言: 题目1: 题目2: 题目3: 题目4: 题目5: 题目6: 题目7: 题目8: 这是关于一篇wireshark分析数据包的文章,主要是网络安全里的应用,讲述了wireshark的使用方法,主要使用的事wrieshark里的追踪流,欢迎大家学习借鉴!  从靶机服务器的FTP上下载wireshark0051.pcap数

    2024年02月11日
    浏览(41)
  • 网络流量安全分析-工作组异常

    在网络中,工作组异常分析具有重要意义。以下是网络中工作组异常分析的几个关键点: Ø 检测网络攻击:网络中的工作组异常可能是由恶意活动引起的,如网络攻击、病毒感染、黑客入侵等。通过对工作组异常的监控和分析,可以快速检测到这些网络攻击,并采取相应的防

    2024年02月03日
    浏览(46)
  • wireshark网络安全流量分析基础

    网络安全流量分析领域中,wireshark和csnas是取证、安全分析的好工具,包括很多研究安全规则、APT及木马流量特征的小伙伴,也会常用到两个工具。这两款流量嗅探、分析软件,今天先介绍wireshark作为安全分析工具的基本使用。  Wireshark对pcap包分析过程中常用的功能基本上包

    2024年02月12日
    浏览(43)
  • 国科大网络协议安全大作业——分析流量并使用Snort规则进行检测

    SHA256(Secure Hash Algorithm 256-bit)是一种密码学哈希函数,用于计算数据的哈希值。每个文件使用一个哈希算法只会有一个确定的哈希值。 被感染主机设置为ubuntu22.04,虚拟机IP地址为192.168.88.142 原因:避免wireshark奇怪报错  2.2.1在终端执行 file命令查看文件类型 2.2.2计算该文件

    2024年02月04日
    浏览(53)
  • 冰蝎4.0特征分析及流量检测思路

    冰蝎是一款基于Java开发的动态加密通信流量的新型Webshell客户端。老牌Webshell管理神器——中国菜刀的攻击流量特征明显,容易被各类安全设备检测,实际场景中越来越少使用,加密 Webshell 正变得日趋流行。 由于通信流量被加密,传统的 WAF、IDS 设备难以检测,给威胁狩猎带

    2024年02月06日
    浏览(45)
  • 告警流量特征分析(护网蓝初面试干货)

    目录 一、流量特征 1、SQL注入 2、XSS 3、挖矿行为 二、webshell流量特征 1、中国菜刀 2、蚁剑 3、冰蝎 三、对告警流量分析 1、信息泄露 2、SQL注入 3、文件上传 4、XSS 5、代码执行 (1)对sqlmap的判断:若攻击者使用sqlmap且未加 --random-agent参数,则可以通过捕获请求包的user-agent字

    2024年02月08日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包