[陇剑杯 2021]webshell

[陇剑杯 2021]webshell      题目做法及思路解析（个人分享）

问一：单位网站被黑客挂马，请您从流量中分析出webshell，进行回答： 黑客登录系统使用的密码是_____________。

题目思路：

分析题目，黑客登录系统使用的密码，可直接查看http协议中含有登录的信息

方法：

http contains "login"查看http协议中包含login（登录）的流量包

查看分析流量包，发现第四个流量包中存在账号密码

flag{Admin123!@#}

问二：单位网站被黑客挂马，请您从流量中分析出webshell，进行回答： 黑客修改了一个日志文件，文件的绝对路径为_____________。

题目思路：

分析题目，黑客修改了一个日志文件，日志文件默认后缀为 .log，可直接使用过滤命令过滤 .log进行查找。

方法：

http contains ".log"查看http协议中包含.log（日志文件后缀）的流量包

在后续大量流量包中发现了 data/Runtime/Logs/Home/21_08_07.log 日志文件

但题目要求提交绝对路径，此时可通过已经查看分析的流量包中发现该网站系统为Linux系统，由此猜测默认目录为/var/www/html。也可以继续查看后续流量包，其中存在命令执行pwd，查看http流，可以准确的得到网站目录为/var/www/html

flag{/var/www/html/data/Runtime/Logs/Home/21_08_07.log}

问三：单位网站被黑客挂马，请您从流量中分析出webshell，进行回答： 黑客获取webshell之后，权限是______？

题目思路：

通过之前的流量包分析已经发现，黑客执行过whoami（查看当前用户的命令），可以通过直接查看该命令的流量包查看权限

方法：

http contains "whoami"查看http协议中包含whoami（查看当前用户的命令）的流量包，查看http流得到flag

flag{www-data}

问四：单位网站被黑客挂马，请您从流量中分析出webshell，进行回答： 黑客写入的webshell文件名是_____________。

题目思路：

在之前的分析中并没有发现黑客上传了webshell，继续对后续黑客进行命令执行的流量包进行分析，发现黑客将一串base64值解密后传入了1.php文件中，猜测该文件为webshell

方法：

接着上一题继续向下查看黑客进行命令执行的流量包，发现1.php

将该段base64值进行解密，得到一句话木马，确认该文件为webshell

flag{1.php}

问五：单位网站被黑客挂马，请您从流量中分析出webshell，进行回答： 黑客上传的代理工具客户端名字是_____________。

题目思路：

通过之前的分析得知，黑客利用系统漏洞进行命令执行创建了1.php的木马文件，连接密码为aaa。继续对流量包进行分析查看黑客上传的1.php文件，发现黑客通过该文件进行了很多操作，并且都进行了URL加密，可以通过工具解密进行分析。

方法：

http contains "1.php"过滤http协议中包含的1.php，右击数据包查看http流，直接查看黑客进行的操作进行分析

通过分析发现345流量包对比341流量包回显的数据中多了一个frpc.ini文件，猜测该文件为黑客上传的代理工具

flag{frpc}（注意flag提交时要求的提交名称）

问六：单位网站被黑客挂马，请您从流量中分析出webshell，进行回答： 黑客代理工具的回连服务端IP是_____________。

题目思路：

通过之前的题目我们找到了黑客创建的webshell和上传的代理工具，继续分析流量包，我们之前尝试解码过黑客传输的数据，通过对URL解码后的数据进行分析发现了一串Hex值，尝试解密

方法：

继续使用 http contains "1.php" 命令进行分析

因为412及以后得数据包内Hex过大，无法正常读取，发现343数据包内流量包内Hex值较小，先尝试对其解密，得到地址

flag{192.168.239.123}

问七：单位网站被黑客挂马，请您从流量中分析出webshell，进行回答： 黑客的socks5的连接账号、密码是______。（中间使用#号隔开，例如admin#passwd）。

题目思路：

同样是需要查看黑客创建webshell后传输的数据，上一题目我们查找IP地址，解码了Hex值后直接发现其中包含了socks5的账号密码

方法：

直接查看解码后的数据

flag{0HDFt16cLQJ#JTN276Gp}