type
status
date
slug
summary
tags
category
icon
password
知识
kali的俩个工具:
foremost,binwalk
foremost直接使用会在当前目录生成output文件夹,其中有被分离出的文件
而基础的binwalk xxx.pcapng只能查看到有个rar,分离参数暂未了解。
BUU 被偷走的流量
在tcp流的第三个包可以看出在45的时候开始请求,66的时候结束。请求了一个flag.rar文件,我们需要将它分离出来(foremost)。
而基础的binwalk xxx.pcapng只能查看到有个rar,分离参数暂未了解。
BUU easycap
直接追踪第一个TCP流
BUU 被嗅探的流量
第二个tcp包,上传了flag.jpg
找到上传文件的数据流结尾,有个flag
BUU HTTP流量分析
没有Accpet,Accpet-language,回调函数+单层编码,一眼蚁剑
看结果是查看目录文件的,找到个flag.txt
继续往下翻了翻,就看见flag了
http2(不知道哪的)
一样的追踪tcp流,一个个看,找到个上传的image.php并且想执行反弹shell到攻击者ip
检索8080端口,看看反弹shell有没有执行成功
好像是成功了,追踪流看看,uname -a好像发现virtual-machine是个虚拟机
在tcp流13的最后攻击者想将/etc/passwd的内容发送到自己的机器
但是在tcp流14发现没成功
web server
正常审tcp流,只是一些tomcat的静态页面和没啥用的jsp
在tcp流8往后,都是这样的一些数据包,源ip和端口都一样,访问服务器的不同端口,像是一个端口扫描的过程,回到主页面直接下拉就可以看到这一堆探测端口请求
最后它探测出了什么端口?可能就会利用什么?我们直接往下拉找探测请求的结尾,追踪流,直接跳到了流9441,继续审计
此时又是一大堆404的页面,应该是gobuster工具在扫目录。我们再回到初始页面,往后跳一跳
在tcp流9460处发现它访问tomcat的/manage/html/这里,此处需要登录才能访问,帐密就是Authorization后面的base64编码的。此处请求是401,代表没成功。
往下翻一翻,发现爆破成功的tcp包,响应状态码200,帐密为:admin:tomcat
成功之后,发现它进入upload,上传war包,这就是复现过的tomcat历史漏洞,上传war包,并解析,最后连接war包加载后的shell
继续往后,在tcp流的9461处看见了命令,计划任务反弹shell
9463发现成功了,它验证成功直接执行exit指令。至此,数据包结尾了,最后爆破ssh就结束了
