玄机-哥斯拉流量分析
哥斯拉流量分析
哥斯拉流量特征
1.User-Agent(弱特征)
哥斯拉是使用Java语言编写的默认的User-Agent类似于Java/1.8.0_101,具体由JDK版本决定。
2.Accept(弱特征)
Accept为text/html, image/gif, image/jpeg, *; q=.2, /; q=.2
3.Cookie(强特征)
在cookie的结尾处有分号
4.哥斯拉会相应三次
5.哥斯拉的加密方式
也就是说要对响应包进行处理的话,首先去掉响应包数据的前16位以及后16位,然后对剩下的数据进行
base64解码 +aes解密,之后gzip解压缩即可。
6.哥斯拉会长时间有 Connection: keep-alive
玄机——哥斯拉4.0流量分析
题目:
1、黑客的IP是什么?
2、黑客是通过什么漏洞进入服务器的?(提交CVE编号)
3、黑客上传的木马文件名是什么?(提交文件名)
4、黑客上传的木马连接密码是什么?
5、黑客上传的木马解密密钥是什么?
6、黑客连接webshell后执行的第一条命令是什么?
7、黑客连接webshell时查询当前shell的权限是什么?
8、黑客利用webshell执行命令查询服务器Linux系统发行版本是什么?
9、黑客利用webshell执行命令还查询并过滤了什么?(提交整条执行成功的命令)
10、黑客留下后门的反连的IP和PORT是什么?(IP:PORT)
11、黑客通过什么文件留下了后门?
12、黑客设置的后门密码是什么?
13、黑客的恶意dnslog服务器地址是什么?
1、黑客的IP是什么?
对流量包进行分析发现192.168.31.190有扫描行为
flag{192.168.31.190}
2、黑客是通过什么漏洞进入服务器的?(提交CVE编号)
发现这段代码是一个典型的Java反序列化漏洞,用的是put请求
搜索一下tomcat put协议
flag{CVE-2017-12615}
3、黑客上传的木马文件名是什么?(提交文件名)
在流量包里面可以发现192.168.31.190有一个上传文件的行为
flag{hello.jsp}
4、黑客上传的木马连接密码是什么?
在hello.jsp里面可以看到
flag{7f0e6f}
5、黑客上传的木马解密密钥是什么?
通过对代码的分析发现是1710acba6220f62b
flag{1710acba6220f62b}
6、黑客连接webshell后执行的第一条命令是什么?
重点关注200的响应包即可,经过漫长的寻找发现一条可以的线索
把密文放到蓝队工具箱里面进行解密
发现执行的命令是uname -r
flag{uname -r}
7、黑客连接webshell时查询当前shell的权限是什么?
接着在流量包里面找发现了一个执行了id命令
解密其返回包的内容
flag{root}
8、黑客利用webshell执行命令查询服务器Linux系统发行版本是什么?
还是在流量包里面找,解密流量包,发现只有一个查看系统文件的命令
解密返回包得到
flag{Debian GNU/Linux 10 (buster)}
9、黑客利用webshell执行命令还查询并过滤了什么?(提交整条执行成功的命令)
在流量包里面找有执行rpm命令的行为并没有成功,在后面找到了一个“dpkg -l libpam-modules:amd64”
返回包解密
flag{dpkg -l libpam-modules:amd64}
10、黑客留下后门的反连的IP和PORT是什么?(IP:PORT)
发现有一个base64加密的数据
base64解密之后
flag{192.168.31.143:1313}
11、黑客通过什么文件留下了后门?
继续解密流量发现在/tmp目录下上传了一个pam_unix.so文件
flag{pam_unix.so}
12、黑客设置的后门密码是什么?
链接到靶机里面把pam_unix.so文件下载下来,在/tmp目录下没有发现文件,用history命令发现被复制到了/lib/x86_64-linux-gnu/security/pam_unix.so
通过ida打开分析pam_sm_authenticate函数,pam的后门一般都放在这里面。确定后门密码是XJ@123,代码中明确比较用户输入的密码是否等于 "XJ@123",并根据比较结果决定认证是否成功。如果这个密码被硬编码在代码中,黑客可能利用这个密码获得不当访问权限
flag{XJ@123}
13、黑客的恶意dnslog服务器地址是什么?
在ida里面可以看到,在后门链接密码上面就是DNSLog的地址
flag{c0ee2ad2d8.ipv6.xxx.eu.org.}