流量分析做题1
流量分析做题1
1.[陇剑杯 2021]jwt(问1)
找到:8 110.318928 192.168.2.197 192.168.2.197 HTTP 610 HTTP/1.1 200 OK (text/html)
有HTTP响应头:Set-Cookie: token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODYsIk1hcENsYWltcyI6eyJhdWQiOiJhZG1pbiIsInVzZXJuYW1lIjoiYWRtaW4ifX0.dJArtwXjas3_Cg9a3tr8COXF7DRsuX8UjmbC1nKf8fc; Path=/; Max-Age=3600; HttpOnly\r\n
即为JWT认证方式。
2.[陇剑杯 2021]webshell(问1)
登录成功状态码为200,方式为POST,一般为login.php。
找到:101 11.239111 192.168.2.197 192.168.2.197 HTTP 753 POST /index.php?m=Home&c=Members&a=login HTTP/1.1 (application/x-www-form-urlencoded)
得到密码。
3.[陇剑杯 2021]jwt(问3)
找到请求:97 216.198006 192.168.2.197 192.168.2.197 HTTP 879 POST /exec HTTP/1.1 (application/x-www-form-urlencoded)
以及回显:98 217.299848 192.168.2.197 192.168.2.197 HTTP 441 HTTP/1.1 200 OK (text/html)
.发现whoami命令回显为root。
4.[陇剑杯 2021]jwt(问2)
从这里开始攻击成功,并请求whoami:97 216.198006 192.168.2.197 192.168.2.197 HTTP 879 POST /exec HTTP/1.1 (application/x-www-form-urlencoded)。
可见:Cookie pair: token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MTAwODcsIk1hcENsYWltcyI6eyJ1c2VybmFtZSI6ImFkbWluIn19.rurQD5RYgMrFZow8r-k7KCP13P32sF-RpTXhKsxzvD0,对中间进行Base64解密,得:{"id":10087,"MapClaims":{"username":"admin"}}
5.[陇剑杯 2021]jwt(问5)
这里写入了Makefile:109 498.914376 192.168.2.197 192.168.2.197 HTTP 1046 POST /exec HTTP/1.1 (application/x-www-form-urlencoded),命令内容为:
1 | echo Q0ZMQUdTICs9IC1XZXJyb3IgLVdhbGwKCmxvb3Rlci5zbzogbG9vdGVyLmMKCWdjYyAkKENGTEFHUykgLWZQSUMgLXNoYXJlZCAtWGxpbmtlciAteCAtbyAkQCAkPCAtbGN1cmw=|base64 -d >/tmp/Makefile |
解码为:looter.so
6.[陇剑杯 2021]jwt(问4)
看到这个:103 391.752016 192.168.2.197 192.168.2.197 HTTP 2334 POST /exec HTTP/1.1 (application/x-www-form-urlencoded),解码可知写入1.c文件中。
7.[陇剑杯 2021]jwt(问6)
看到这个:129 1022.694826 192.168.2.197 192.168.2.197 HTTP 933 POST /exec HTTP/1.1 (application/x-www-form-urlencoded)。
8.[陇剑杯 2021]webshell(问2)
看到这个:332 396.095915 192.168.2.197 192.168.2.197 HTTP 880 POST /index.php?m=home&a=assign_resume_tpl HTTP/1.1 (application/x-www-form-urlencoded)。因为是绝对路径,要:.log文件路径前加上/var/www/html/。
9.[陇剑杯 2021]webshell(问4)
看到这个:332 396.095915 192.168.2.197 192.168.2.197 HTTP 880 POST /index.php?m=home&a=assign_resume_tpl HTTP/1.1 (application/x-www-form-urlencoded),命令写入1.php。
10.[陇剑杯 2021]webshell(问3)
查询语句:
1 | http contains "whoami" |
追踪HTTP流:发现:ERR: ……………:./Application/Home/View/default/www-data
猜测用户名为www-data,证明正确。
11.[陇剑杯 2021]日志分析(问1)
源码泄露想到www目录,找到:172.17.0.1 - - [07/Aug/2021:01:37:59 +0000] "GET /www%2ezip HTTP/1.1" 200 1686 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.107 Safari/537.36",请求200证明下载www.zip成功。
12.[陇剑杯 2021]SQL注入(问1)
布尔盲注。
13.[陇剑杯 2021]日志分析(问2)
sess_car
14.[陇剑杯 2021]webshell(问5)
分别去追这个:341 424.003011 192.168.2.197 192.168.2.197 HTTP 1421 POST /1.php HTTP/1.1 (application/x-www-form-urlencoded)和345 538.778180 192.168.2.197 192.168.2.197 HTTP 1429 POST /1.php HTTP/1.1 (application/x-www-form-urlencoded)的HTTP流,对比发现出现frpc.ini文件,即为frpc。